Das passt zwar hier nicht ganz zum Thema, ich will aber trotzdem
eine Antwort versuchen.
Bei SAMBA laufen alle Verbindungen (Services) zu einem Rechner
ueber ein- und dieselbe TCP-Verbindung und kommunzieren SAMBA-
seitig mit derselben Inkarnation des Daemons smbd.
Das heiszt: Die erste (!) Verbindung, die hergestellt wird,
bestimmt User-ID und Gruppenzuehoerigkeit des Daemons und
damit die Zugriffsrechte auf die Dateien.
Ich sehe hier nur eine Loesung (die bei uns verwendet wird):
- Alle Nutzer werden auf dem Linux-Rechner den entsprechenden
Gruppen zugeordnet (hier: dta, intern, gf). Mehrfachnennungen
sind hier moeglich, d.h. z.b. der Geschaeftsfuehrer kommt in
alle drei Gruppen. (in /etc/group eintragen)
- Die Verzeichnisse dta, intern, gf und deren Unterverzeichnisse
werden den jeweiligen Gruppen zugeordnet, also z.b.
chgrp intern /intern
chgrp -R intern /intern/*
usw.
- Durch Setzen des Sticky-Bits kann gewaehrleistet werden, dass
die in den Verzeichnissen erzeugten Dateien ebenfalls der
entsprechenden Gruppe angehoeren. Im Prinzip genuegt es aber,
wenn die Hauptverzeichnisse (/dta /intern /gf) die entsprechende
Gruppenzugehoerigkeit haben.
chmod g+s /intern
chmod -R g+s /intern/*
usw.
- Wie gemacht, werden die Zugriffsrechte auf 0770 gesetzt.
Mit dieser Loesung ist es dann auch egal, ob die drei Verzeichnisse
als getrennte Services eingerichtet werden, oder nur Unterver-
zeichnisse in einem gemeinsamen Laufwerk werden.
Jochen Roedenbeck
(Anm: einige Hinweise habe ich noch unten zwischen den Text gesetzt)
Peter Rüffer wrote:
> Ich will ein Linux-ISDN-Gateway ins Internet für unsere User einrichten.
> Zuallererst aber habe ich Probleme mit der Zugriffssteuerung in der
> smb.conf. Es gibt hier eine Menge Parameter, habe schon etliche
> probiert, aber keiner passt so richtig. :-(
>
> Wir haben eine einfache 3-stufige Berechtigungshierarchie + Root:
>
> 1.Alle (Standarduser) @alle -> /dta, ...
> 2.Internes (Office, Finanzen etc.) @intern -> /dta, /intern, ...
> 3.Geschäftsführung (Verträge etc.) @gf -> /dta, /intern, /gf,
> ..
>
> Die jeweils untergesordneten Stufen sollen die Verzeichnisse der höheren
> weder sehen noch auf Dateien zugreifen können. Ich habe versucht das
> über die Parameter "valid users", "create mode", "directory mode" zu
> steuern, funktioniert aber nicht richtig! Sichtbar sind ALLE Services,
> egal wie angemeldet wird, zugreifen kann man zwar nur auf die
> berechtigten, innerhalb einer Gruppe habe ich aber dann auch noch
> Probleme mit den Dateirechten, d.h. xyz@alle legt Verzeichnis an, dann
> kann abc@alle zwar lesen, nicht aber ändern (create mode??).
>
> Die smb.conf sieht derzeit so aus:
>
> # /etc/smb.conf
> [global]
> server string = Archiv-Server %h
> workgroup = KC
> guest account = nobody
> keep alive = 60
> os level = 2
> security = user
> printing = bsd
> printcap name = /etc/printcap
> load printers = yes
hier fehlt noch:
socket options = TCP_NODELAY
sonst gibt es manchmal unerklaerliche Verbindungsabbrueche
> .. usw.
>
> [dta]
> comment = Datafiles
> path = /dta
> read only = no
> create mode = 0775
> directory mode = 0775
>
> [intern]
> comment = Internes
> path = /intern
> valid users = @intern, @gf <- hier die notw. Gruppen!!
> read only = no
> create mode = 0770
> directory mode = 0770
>
> [gf]
> comment = GF
> path = /gf
> valid users = @gf <- dito, nur noch GF!
> read only = no
> create mode = 0770
> directory mode = 0770
>
> .. usw.
>
> Wer kann helfen? Jörg Henner hatte ein "ähnliches" Problem, die
> Antworten haben mir aber nicht geholfen.
>
> Desweiteren klappt zwar der Standard-TCP-Zugriff von einem W95-Klient
> mit ftp.exe oder telnet.exe, aber die Verbindung kommt IMMER erst nach
> ca. 1-2 Minuten warten zustande. Dann kann man zwar alles machen, aber
> durch die lange Zeit funktioniert z.B. ws_ftp.exe nicht (Timeout max.
> 120 s!) und es nervt, immer so lange auf eine Console übver Telnet
> warten zu müssen.
>
> Woran kann das wohl liegen?
moeglicherweise am fehlenden DNS oder falsch konfigurierten Dateien
C:\WINDOWS\HOSTS.
> Im voraus vielen Dank für Rat und Tat, Gruss Peter !
-
To unsubscribe from this list please send a mail to [EMAIL PROTECTED] with
'unsubscribe suse-isdn' in its body.
