hallo!
wenn ich über samba einen neuen ordner anlege, dann darf ich den nur beschreiben. selbst wenn ein anderer user auch meiner gruppe angehört.
ist auch ganz klar, denn sämtliche ordner werden mit 755 angelegt. ein create mask 775 o.ä. geht nat. nicht.
was kann ich machen, damit alle user der gruppe auf den ordner zugreifen können (rwx)?
eine möglichkeit wäre, per force user einen bestimmten user für alles festzulegen. aber das ist doch gurk, weil, wozu gibt es dann gruppenzugehörigkeit?! oder?
Ich löse das bisher immer so:
[EineFreigabe]
path = /irgend/wo
valid users = @ErlaubteGruppe
force group = Hauptgrupe-in-der-alle-drin-sind #zb users
read only = No #Schreiben ist natürlich ok :)
create mask = 0660 #Rechtemaske für Dateien
directory mask = 0770 #Rechtemaske für Verzeichnisse
Es können nur Benutzer aus “ErlaubteGruppe” zugreifen. Alles wird mit den Besitzverhältnissen “ZugreifenderBenutzer.Hauptgruppe”, sowie einer Zugriffsmaske durch die alle Benutzer (auch die die später in die Gruppe kommen) verändert / gelöscht werden. Mir Persönlich ist das sicher genug, obwohl ich die Gruppen/Rechte Features von Linux nicht direkt zum Schutz einsetzte. An Samba und der Einstellung “valid users” kommt man eben nicht einfach so vorbei wenn man kein Mitglied von “ErlaubteGruppe” ist.
hallo!
so hab ich es ja auch bisher gemacht. nur leider kann der jenige, der die datei / das verzeichnis anlegt auch diese/s nur wieder bearbeiten, weil sie generell mit max chmod 744 angelegt werden (dateien). und dass heißt nun mal, das ein gruppenangehöriger die datei nur lesen kann.
laut manual [1] gehen die angaben für dein directory mask micht wirklich (max. 744), oder hab ich das falsch verstanden?
[1] http://lug.krems.cc/docu/samba/ch05_03.html
Mit dem folgenden Abschnitt aus der von dir angeführten Doku sollte dein Problem lösbar sein:
“5.3.2.3 force create mode
Diese Option setzt die Berechtigungsbits, die Samba zu setzen erzwingt, wenn eine Änderung der Dateirechte gemacht wurde. Es wird oft verwendet, um Gruppenrechte zu erzwingen, wie vorher besprochen. Es kann auch benützt werden, um einige der DOS-Attribute voreinzustellen, die wir erwähnten: Archiv (0100), System (0010) oder Hidden (0001). Diese Option tritt immer nach den Optionen map archive, map system , map hidden und create mask in Kraft.
Viele Windows-Applikationen benennen ihre Daten-Dateien in datafile.bak um und erzeugen neue, auf diese Weise verändern sie ihren Besitz und die Berechtigung, sodass Mitglieder derselben Unix-Gruppe sie nicht editieren können. Die Einstellung force create mode = 0660 wird die neue Datei für die Gruppenmitglieder editierbar halten.”
…und ich war mir 100%ig sicher das force create mode schon ausprobiert zu haben.
wahrscheinlich hatte ich da den dienst nicht neu gestartet…
hier geht sogar 777 (testweise)!
Hallo Ralf,
etwas eleganter finde ich
force group = @ErlaubteGruppe
Damit ist auch das Hintertürchen über Linux-Zugriff geschlossen.
mfg
Andreas