[Eisfair_dev] Samba 4.1.0 unstable

Thomas Bork tom at eisfair.org
Mi Nov 20 22:27:52 CET 2013


Am 20.11.2013 11:37, schrieb Stefan Heidrich:

> Keiner dieser Server entfernt Ausführrechte von Dateien, wenn die
> entsprechenden Ordner diesen Rechteentzug nicht gesetzt haben.

Du wirfst hier mehrere Dinge durcheinander:

1.
Sowohl Windows-Server als auch Samba ab 4.x beachten das Recht zum 
Ausführen von Dateien. Samba hat mit 4.x lediglich nachgezogen. Darum 
geht es hier.

Prüfe das unter Windows, in dem Du das von mir beschriebene ausführst 
(Samba hast Du ja schon geprüft).

2.
ACLs unter Windows und Linux unterscheiden sich deutlich (das hat mit 
Samba aber nur mittelbar zu tun).

Die Rechte von Dateien oder Verzeichnissen, (ich rede hier von Rechten 
auf Datei- oder Verzeichnisebene, sprich NTFS) umfassen beim Erzeugen 
von Verzeichnissen und Dateien für bestimmte Benutzer und Gruppen 
anscheinend immer auch das Recht zum Ausführen.

Das ist unter Linux nicht zwangsläufig so. Es gibt hier mehrere 
Möglichkeiten, ACLs abzubilden oder zu erzeugen, die mit der 
Windows-Welt nicht zu vergleichen sind.

Die simple hast Du zum Vergleich herangezogen (rwx für user, group und 
alle).

Hat eine Datei unter Windows nicht das Recht zum Ausführen für den User, 
kann sie nicht ausgeführt werden. Und das ist unter Linux/Samba nun auch so.

> Und wie ich schon geschrieben habe sind die Linux-Rechte der Ordner in den
> entsprechenden Samba-Freigaben auf 777 gesetzt. Also verhält sich Samba 4
> hier eindeutig anders als alle Microsoft Windowsserver und das erstaunt mich
> immer noch...

Du redest anscheinend von dem nicht so simplen Fall, in dem ein 
Verzeichnis auf 777 gesetzt und mit ACLs mit inherit gearbeitet wird.

Gehe mal auf

http://www.samba.org/samba/docs/man/manpages/smb.conf.5.html

, suche nach der Zeichenkette 'acl' und lese Dir alles durch, was damit 
zu tun hat, vor allem

acl group control
dos filemode
inherit acls
inherit owner
inherit permissions
map acl inherit

test # smbd -V
Version 4.1.2-UNKNOWN-for-eisfair-1-patch-1
test # testparm -sv 2>/dev/null | grep acl
         acl check permissions = Yes
         acl group control = Yes
         acl map full control = Yes
         acl allow execute always = No
         force unknown acl user = Yes
         inherit acls = Yes
         nt acl support = Yes
         profile acls = No
         map acl inherit = Yes
test # testparm -sv 2>/dev/null | grep inherit
         inherit permissions = No
         inherit acls = Yes
         inherit owner = No
         map acl inherit = Yes
test # testparm -sv 2>/dev/null | grep filemode
         dos filemode = Yes

-- 
der tom
[eisfair-team]


Mehr Informationen über die Mailingliste Eisfair_dev