Neues Gruppenmitglied kann nur lesen - alle anderen schreiben

[dady]

hallo

system

opensuse 11.0, samba 3.2.4.-4.1, intel pentium 4 2.80ghz, grafikkarte: intel 915g, gnome 2.22.1

Problem und Kontext

ip-vergabe durch router (dhcp), 20 clients (xp, vista und opensuse 11.0), 80gb daten

ziel: der neue user soll ebenfalls in termine.odt schreiben können

/../planung/termine.odt (u:capicr, g:lzm-all, 101775, -rwxrwxr-t)

der ordner planung: 42775, drwsrwsr-x

füge ich nun einen neuen user in die gruppe hinzu, kann der die datei termine.odt nur schreibgeschützt öffnen – die „alten“ user dagegen können richtigerweise darin auch schreiben. in der gruppe sind ca. 20 user. der gleiche user kann aber in der anderen freigabe [sweethome] alles was vorgesehen ist (siehe smb.conf) der betroffene user arbeitet mit vista. habe es aber auch von einem xp-rechner probiert, mit gleichem resultat.

habe dann noch einen weiteren user angelegt, wieder das gleiche.

kann mir jemand weiterhelfen? bin blutiger samba/linux-anfänger und beherrsche nur die elementarsten bash-befehle...

smb.conf

[global]

workgroup = LEL

netbios name = server1

server string = server1 - caPi.cR taNzT SaMba

map to guest = bad user

security = user

interfaces = eth0 lo

bind interfaces only = yes

hosts allow = 127.0.0.1 192.168.1.0/24 192.168.1.199/24

hosts deny = all

max smbd processes = 500

domain logons = No

domain master = No

passdb backend = smbpasswd

wins support = No

# ldap suffix =

# wins server =

[daten]

comment = xdata

path = /srv/xdata

browseable = yes

read only = no

valid users = @lzm-all

force create mode = 0775

force directory mode = 2775

[icet]

comment = icet

path = /srv/icet

browseable = yes

read only = no

valid users = @lzm @lzm-neu @lzm-kids

force create mode = 0775

force directory mode = 2775

[sweethome]

comment = lzm privat

path = /home/sweethome

browseable = yes

read only = no

valid users = @lzm @lzm-neu

force create mode = 0770

force directory mode = 2770

[und noch ein paar shares...]

bin für jeden tipp sehr dankbar!

dady

[zyclon]

hi!

Also zwei grundlegende Hinweise/Gedanken, hast du den Samba und zugehörige Dienste neugestartet bzw. einen refresh gemacht, damit die Config übernommen wird?

Sind die User @lzm @lzm-neu die du in der smb.conf angibst denn auch in deiner /etc/passwd angelegt?

Soviel ich weiß, macht Samba nur ein Mapping auf die Linux/UNIX-User, d.h. der User muss auf dem Server und Client existieren. Ausnahme natürlich dein SMB-Server ist an LDAP oder einen ähnlichen Verzeichnisdienst angebunden.

[edit]

Ein Gedanke wäre auch, dass der neue User wenigstens in der gleichen Gruppe Mitglied sein muss, wie der Vorhandene bzw. der Gruppe angehört, die laut ls -l /home/sweethome etc. angezeigt wird.

vg

zyclon

Bearbeitet 12. Dezember 2008 von zyclon
Ergänzung

[dady]

hallo zyclon und herzlichen dank für die schnelle antwort. ich war unterwegs und kann erst jetzt wieder ran.

Also zwei grundlegende Hinweise/Gedanken, hast du den Samba und zugehörige Dienste neugestartet bzw. einen refresh gemacht, damit die Config übernommen wird?

ja, (rcsmb restart + rcnmb restart) und sogar den server neu gestartet. wobei ich ja an der smb.conf nichts verändert habe. sondern nur einen weiteren user hinzugefügt habe.

Sind die User @lzm @lzm-neu die du in der smb.conf angibst denn auch in deiner /etc/passwd angelegt?

ja, die user der beiden gruppen sind vorhanden, wie alle anderen user auch.

Soviel ich weiß, macht Samba nur ein Mapping auf die Linux/UNIX-User, d.h. der User muss auf dem Server und Client existieren. Ausnahme natürlich dein SMB-Server ist an LDAP oder einen ähnlichen Verzeichnisdienst angebunden.

user ist in beide (system u. samba) vorhanden. ich glaube, sonst könnte er nicht rein, bzw. lesen.

Ein Gedanke wäre auch, dass der neue User wenigstens in der gleichen Gruppe Mitglied sein muss, wie der Vorhandene bzw. der Gruppe angehört, die laut ls -l /home/sweethome etc. angezeigt wird.

kommischerweise kann der neue user in der freigabe [sweethome] alles machen, was vorgesehen ist (gemäss smb.conf). aber in der freigabe [daten] nicht. hier kann er zwar überall lesen wo er gruppenmitglied ist, aber nicht schreiben - wo seine anderen gruppenmitglieder dies aber können.

was ich mir jetzt noch überlege ist, ob die effektiven rechte von termine.odt irgendwie anders sind als die "sichtbaren". kennst du einen befehl, der mir die effektiven rechte anzeigen würde?

und könnte es sein, dass es ein opensuse-problem ist und nicht von samba?

aber eben, ich weiss nicht, wo ich anfangen soll...

bin weiter für jede anregung dankbar. es handelt sich um zwei neue mitarbeiter, die in ihren bereichen arbeiten sollten - sie wollen ja auch...:old kommen einfach nicht so weit, wie sie sollten.

gruss dady

[dady]

hallo und danke fuer die anwort.

Wie sieht es mit ACLs aus? Sind da welche gesetzt oder sollten welche gesetzt sein?

Probiers mal mit ls -lv auf die Freigaben. Komme eigtl. eher aus dem Solaris-Umfeld, kann sein das ls -lv nicht funktioniert. Dann sollte dir getfacl/setfacl weiterhelfen.

mit ls -lv kommt:.

-rwxrwxr-t 1 capicr lzm-all 37571 20. Dez 09:54 Rollender_Kalender.odt

der neue mitarbeiter ist mitglied bei lzm-all und muesste doch eigentlich schreiben koennen.

habe nun aber noch folgendes festgestellt/beobachtet:.

1. der neue kann in der gesamten freigabe [daten] nicht schreiben, sondern nur lesen.

2. im share [sweethome] hingegen klappt alles (siehe smb.conf oben) die shares sind ja eigentlich identisch.

3. wenn ich die gruppe lzm bearbeite, dann erscheint nur ein fenster (siehe grafik1) mit usern, die hinzuefugen oder entfernen kann. bei der gruppe lzm-all hingegen erscheinen 2 fenster (siehe grafik2), wobei ich einen user oben hinzufuegen oder aus der gruppe entfernen kann - unten aendert sich aber nichts. mit anderen worten, der user bleibt unten in der gruppe, wenn ich ihn oben wegklicke (auch nach dem schreiben der aenderungen).

diesen unterschied verstehe ich nicht und vermute, dass es irgendwo einen doppelten eintrag gibt. aber wo und kann das etwas mit meinem problem zu tun haben?

da es meine erste configuration eines servers ist, kann es gut sein, dass ich anfangs mal die gruppen und user geloescht und frisch angelegt habe - so zum experimentieren. am schluss lief alles nach wunsch. ich kann mich aber nicht mehr an einzelheiten erinnern, da das alles schon eine weile her ist. bis jetzt neue mitarbeiter kamen...

was ich aber glaube zu wissen ist, dass ich nie mit getfacl / setfacl experimentiert habe, weil ich mich fuer das sticky bit "2" entschieden habe.

werde mich noch ueber setfacl und getfacl informieren - vielleicht liegt ja da irgendwo der hase begraben.

so, mache hier mal einen punkt und danke fuer jeden beitrag/hinweis oder anleitung!

gruss

dady

[dady]

habe mich nun ein wenig ueber acl schlau gemacht. getfacl liefert:

# file: srv/../../../Rollender_Kalender.odt

# owner: capicr

# group: lzm-all

user::rwx

group::rwx

other::r-x

wuensche alles gute fuers 2009!

[zyclon]

hallo!

demnach sind auch keine ACLs gesetzt. Was angezeigt wird sind nur normale Unix-Berechtigungen.

kannst du evtl. bitte einen Auszug deiner /etc/passwd und /etc/groups posten?

wünsch dir noch nen schönen restfeiertag.

gruß

zyclon