[Eisfair_dev] Samba 4.1.0 unstable
Thomas Bork
tom at eisfair.org
Mi Nov 20 22:27:52 CET 2013
Am 20.11.2013 11:37, schrieb Stefan Heidrich:
> Keiner dieser Server entfernt Ausführrechte von Dateien, wenn die
> entsprechenden Ordner diesen Rechteentzug nicht gesetzt haben.
Du wirfst hier mehrere Dinge durcheinander:
1.
Sowohl Windows-Server als auch Samba ab 4.x beachten das Recht zum
Ausführen von Dateien. Samba hat mit 4.x lediglich nachgezogen. Darum
geht es hier.
Prüfe das unter Windows, in dem Du das von mir beschriebene ausführst
(Samba hast Du ja schon geprüft).
2.
ACLs unter Windows und Linux unterscheiden sich deutlich (das hat mit
Samba aber nur mittelbar zu tun).
Die Rechte von Dateien oder Verzeichnissen, (ich rede hier von Rechten
auf Datei- oder Verzeichnisebene, sprich NTFS) umfassen beim Erzeugen
von Verzeichnissen und Dateien für bestimmte Benutzer und Gruppen
anscheinend immer auch das Recht zum Ausführen.
Das ist unter Linux nicht zwangsläufig so. Es gibt hier mehrere
Möglichkeiten, ACLs abzubilden oder zu erzeugen, die mit der
Windows-Welt nicht zu vergleichen sind.
Die simple hast Du zum Vergleich herangezogen (rwx für user, group und
alle).
Hat eine Datei unter Windows nicht das Recht zum Ausführen für den User,
kann sie nicht ausgeführt werden. Und das ist unter Linux/Samba nun auch so.
> Und wie ich schon geschrieben habe sind die Linux-Rechte der Ordner in den
> entsprechenden Samba-Freigaben auf 777 gesetzt. Also verhält sich Samba 4
> hier eindeutig anders als alle Microsoft Windowsserver und das erstaunt mich
> immer noch...
Du redest anscheinend von dem nicht so simplen Fall, in dem ein
Verzeichnis auf 777 gesetzt und mit ACLs mit inherit gearbeitet wird.
Gehe mal auf
http://www.samba.org/samba/docs/man/manpages/smb.conf.5.html
, suche nach der Zeichenkette 'acl' und lese Dir alles durch, was damit
zu tun hat, vor allem
acl group control
dos filemode
inherit acls
inherit owner
inherit permissions
map acl inherit
test # smbd -V
Version 4.1.2-UNKNOWN-for-eisfair-1-patch-1
test # testparm -sv 2>/dev/null | grep acl
acl check permissions = Yes
acl group control = Yes
acl map full control = Yes
acl allow execute always = No
force unknown acl user = Yes
inherit acls = Yes
nt acl support = Yes
profile acls = No
map acl inherit = Yes
test # testparm -sv 2>/dev/null | grep inherit
inherit permissions = No
inherit acls = Yes
inherit owner = No
map acl inherit = Yes
test # testparm -sv 2>/dev/null | grep filemode
dos filemode = Yes
--
der tom
[eisfair-team]
Mehr Informationen über die Mailingliste Eisfair_dev