[Eisfair] Samba share: Zugriffsberechtigung über additional group funktioniert nicht

Marcus Röckrath marcus.roeckrath at gmx.de
Di Mär 29 16:05:01 CEST 2022 

Hallo Alex,

Alex Busam wrote:

> [share1]
>   comment = share1 on %h
>   writeable = yes
>   browseable = yes
>   path = /data/share1
>   valid users = +users +leitung root

Wenn ein Benutzer neben der Group users auch die zusätzliche
Gruppenmitgliedschaft hat, was soll dann dieser Eintrag bringen?

Er hat doch wegen +users schon Zugriff.

>> Du musst dort - durch Leerzeichen getrennt - alle User und Groups
>> angeben, die auf die Share zugreifen dürfen:
> 
> Ich brauche aber nicht user1 aufführen, wenn dieser Mitglied der Gruppe
> group1 ist? Oder liegt hier mein Verständnisproblem? Zumindest wenn die
> Rechte 770 sind.

Du gibst in der Samba-Konfiguation sowohl user als auch Gruppen an; gehört
jemand zu einer dort angegebenen Gruppe, braucht der User nicht selbst
anegegeben zu werden.

> Glaub die Zentrale Frage ist, ob es reicht, dass die group group1 ist
> oder ob es auch reicht, dass eine additional group group1 ist.

Ganz ehrlich ist mi völlig schleierhaft, was du wirklich willst.

> auch klar. Bisher hatte ich eben die andere Vorgehensweise gewählt. Bei
> public = yes und Besitz der Share der entsprechenden group auf
> Linux-Rechte-Ebene hat das ja auch funktioniert.

Lass doch Samba alles regeln.

> Impliziert Deine Aussage, dass die additional groups des systems
> ignoriert werden?

???

Jeder Linux-Users gehört nornalerweise immer der Gruppe users an, was man
auch so lassen msollte.

Für bestimmte Zwecke kann man User auch in weitere Gruppen setzen.

>>> Und dachte bisher, dass die auf linuxebene definierte group und
>>> additional group (neben dem eigentlichen user) die Berechtigung ergibt.

Wenn du direkt auf Linuxebene arbeitest; Samba hat eine eigene
Zugriffsebene, die aber die systemweit gültigen Groups mitbenutzt.

>> Nein, nicht in Samba, du gibst, wie oben beschrieben, die Groups an,
>> deren Mitgliedern du den Zugriff ermöglichen willst.
> Widerspricht Dein Nein jetzt nicht der Aussage "Gruppen entsprechen den
> Groups des Systems"?

Wieso; es geht nur darum, dass du nicht versuchst, auf
Dateiberechtigungsebene dem Samba sagen zu wollen, was wo erlaubt ist.

> Zusatzfrage: wie regelst Du den Zugriff auf Unterordner einer share, der
> dann nur einer Teilgruppe möglich sein soll?
> In meinem Beispiel share1, für group1, aber einer der Unterordner nur
> Lese/Schreibberechtigung für Additional group leitung.

Da musst du für den Unterordner eine eigene Freigabe machen und dort den nur 
erlaubten Users den Zugriff in der Samba-Konfiguration erlauben, aber in
der globaleren Freigabe verbieten/nicht erlauben.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair