Einen guten Tag allerseits,
ich habe auf einer Debian 3.0 Maschine 2 verschiedene Versionen von Samba laufen. Die eine ist Samba 3.0.14a-Debian und die andere ist Samba 3.1.2pre1-SVN-build-14683 aus dem svg. Die "alte" Version ist komplett lauffähig und nutzt als Passwort Datenbank backend die /etc/passwd (wie es auch die neue Version tut). die beiden smbpasswd Dateien sind für die jeweilige Version unterschiedlich.
Die Konfiguration hat bisher gut geklappt und eigentlich funktioniert alles so wie es sollte. Da ist aber auch schon die Einschränkung "eigentlich".
- Die Freigaben wurden von der alten Version 1:1 auf die neue übernommen.
- Einige Benutzer wurden von der alten Version in die neue übernommen. (smbpasswd)
Wenn ich nun versuche auf eine Freigabe zuzugreifen, bekomme ich die Meldung "Access denied" vom smbclient. Das passiert NUR bei Freigaben, die den "valid users" parameter nutzen und NICHT explizit den Benutzer angeben. Ein Beispiel um das zu rekonstruieren:
Es existiert ein Benutzer "mik1". Dieser Benutzer befindet sich in einer Gruppe "Group1". Ich habe 2 Freigaben:
- testshare1
- testshare2
Diese Freigaben sind wie folgt definiert:
Ich SOLLTE nun mit dem Benutzer "mik1" auf beide Freiageben zugreifen können, da er einmal explizit und das andere mal implizit (in Form von "Group1", der "mik1" ja angehört) angegeben wurde. Tatsache ist aber, das ich lediglich auf die Freigabe "testshare1" zugreifen kann.
Meine Gedanken dazu waren, dass es eigentlich nicht an der passwd/group datei liegen kann, da diese sich ja nicht geändert hat. Ich hab außerdem die entsprechenden Benutzer in der smbpasswd der neuen Samba Version angelegt. Für mich scheint es so zu sein, dass er die Angabe einer Gruppe mehr oder weniger ignoriert. Muss ich in der Konfigurationsdatei noch angeben, welche Gruppendatei er nutzen soll? Gibt es eine Möglichkeit zu testen, für wen die Freigabe zugänglich ist (außer testparm, das mir ja auch nur mitteilt das ich die Freigabe für Gruppe1 zugänglich gemacht habe)? Ein Denkanstoß in die richtige Richtung wäre sehr willkommen, schonmal besten Dank im Vorraus
mik
*edit* Eine Frage hat gefehlt: Ist es ratsamer insgesamt ACLs zu nutzen und die valid/invalid user option ganz wegzulassen?
*edit2* mir fiel gerade auf, dass ein auszug aus der log-datei recht hilfreich wäre :
######### Das hier, wenn unter valid users nur die gruppe, in der sich "piassek" befindet, angegeben ist ######################
[2006/03/27 15:40:06, 2] auth/auth.c:check_ntlm_password(307)
check_ntlm_password: authentication for user [piassek] -> [piassek] -> [piassek] succeeded
[2006/03/27 15:40:06, 2] lib/access.c:check_access(324)
Allowed connection from (192.168.0.125)
[2006/03/27 15:40:06, 2] smbd/service.c:make_connection_snum(561)
user 'piassek' (from session setup) not permitted to access this share (_mbag)
[2006/03/27 15:40:06, 2] smbd/server.c:exit_server(628)
Closing connections
###########################################
######### Das hier, wenn valid users auskommentiert ist : ######################
[2006/03/27 15:49:26, 2] auth/auth.c:check_ntlm_password(307)
check_ntlm_password: authentication for user [piassek] -> [piassek] -> [piassek] succeeded
[2006/03/27 15:49:26, 2] lib/access.c:check_access(324)
Allowed connection from (192.168.0.125)
[2006/03/27 15:49:26, 1] smbd/service.c:make_connection_snum(924)
mik (192.168.0.125) connect to service _mbag initially as user piassek (uid=1015, gid=1015) (pid 29305)
[2006/03/27 15:49:26, 2] smbd/reply.c:reply_tcon_and_X(703)
Serving _mbag as a Dfs root
###########################################
ich habe auf einer Debian 3.0 Maschine 2 verschiedene Versionen von Samba laufen. Die eine ist Samba 3.0.14a-Debian und die andere ist Samba 3.1.2pre1-SVN-build-14683 aus dem svg. Die "alte" Version ist komplett lauffähig und nutzt als Passwort Datenbank backend die /etc/passwd (wie es auch die neue Version tut). die beiden smbpasswd Dateien sind für die jeweilige Version unterschiedlich.
Die Konfiguration hat bisher gut geklappt und eigentlich funktioniert alles so wie es sollte. Da ist aber auch schon die Einschränkung "eigentlich".
- Die Freigaben wurden von der alten Version 1:1 auf die neue übernommen.
- Einige Benutzer wurden von der alten Version in die neue übernommen. (smbpasswd)
Wenn ich nun versuche auf eine Freigabe zuzugreifen, bekomme ich die Meldung "Access denied" vom smbclient. Das passiert NUR bei Freigaben, die den "valid users" parameter nutzen und NICHT explizit den Benutzer angeben. Ein Beispiel um das zu rekonstruieren:
Es existiert ein Benutzer "mik1". Dieser Benutzer befindet sich in einer Gruppe "Group1". Ich habe 2 Freigaben:
- testshare1
- testshare2
Diese Freigaben sind wie folgt definiert:
Code:
[testshare1]
....
valid users = mik1
....
[testshare2]
....
valid users = @Group1
....Ich SOLLTE nun mit dem Benutzer "mik1" auf beide Freiageben zugreifen können, da er einmal explizit und das andere mal implizit (in Form von "Group1", der "mik1" ja angehört) angegeben wurde. Tatsache ist aber, das ich lediglich auf die Freigabe "testshare1" zugreifen kann.
Meine Gedanken dazu waren, dass es eigentlich nicht an der passwd/group datei liegen kann, da diese sich ja nicht geändert hat. Ich hab außerdem die entsprechenden Benutzer in der smbpasswd der neuen Samba Version angelegt. Für mich scheint es so zu sein, dass er die Angabe einer Gruppe mehr oder weniger ignoriert. Muss ich in der Konfigurationsdatei noch angeben, welche Gruppendatei er nutzen soll? Gibt es eine Möglichkeit zu testen, für wen die Freigabe zugänglich ist (außer testparm, das mir ja auch nur mitteilt das ich die Freigabe für Gruppe1 zugänglich gemacht habe)? Ein Denkanstoß in die richtige Richtung wäre sehr willkommen, schonmal besten Dank im Vorraus
mik
*edit* Eine Frage hat gefehlt: Ist es ratsamer insgesamt ACLs zu nutzen und die valid/invalid user option ganz wegzulassen?
*edit2* mir fiel gerade auf, dass ein auszug aus der log-datei recht hilfreich wäre :
######### Das hier, wenn unter valid users nur die gruppe, in der sich "piassek" befindet, angegeben ist ######################
[2006/03/27 15:40:06, 2] auth/auth.c:check_ntlm_password(307)
check_ntlm_password: authentication for user [piassek] -> [piassek] -> [piassek] succeeded
[2006/03/27 15:40:06, 2] lib/access.c:check_access(324)
Allowed connection from (192.168.0.125)
[2006/03/27 15:40:06, 2] smbd/service.c:make_connection_snum(561)
user 'piassek' (from session setup) not permitted to access this share (_mbag)
[2006/03/27 15:40:06, 2] smbd/server.c:exit_server(628)
Closing connections
###########################################
######### Das hier, wenn valid users auskommentiert ist : ######################
[2006/03/27 15:49:26, 2] auth/auth.c:check_ntlm_password(307)
check_ntlm_password: authentication for user [piassek] -> [piassek] -> [piassek] succeeded
[2006/03/27 15:49:26, 2] lib/access.c:check_access(324)
Allowed connection from (192.168.0.125)
[2006/03/27 15:49:26, 1] smbd/service.c:make_connection_snum(924)
mik (192.168.0.125) connect to service _mbag initially as user piassek (uid=1015, gid=1015) (pid 29305)
[2006/03/27 15:49:26, 2] smbd/reply.c:reply_tcon_and_X(703)
Serving _mbag as a Dfs root
###########################################
