Keine ACLs von Windows in Samba-Share setzen

[pfeifferandreas]

Hallo,

ich habe einen Samba 3.x mit ACL-Support am Laufen. Die Berechtigungen werden per setfacl auf Dateiebene gesetzt. Nun habe ich aber das Problem, dass Anwender vom Windows-Explorer über "Eigenschaften", "Sicherheit" Benutzer und Gruppen hinzufügen können. Wie kann ich es erreichen, dass solche Einstellungen das "share" nicht interessieren und weiterhin meine mittels setfacl gesetzten Berechtigungen (default-Werte) geschrieben werden.

Ein share sieht bei mir folgendermaßen aus:

[vrr]
comment = VRR Gruppenlaufwerk
path = /group/vrr/vrr
read only = No
valid users = @domänenname-gikt, @domänenname-gvrr
create mask = 0770
directory mask = 0770
browseable = No

Gibt evtl. ein Eintrag acls = no ?!??!

Mein acls auf Dateiebene sehen folgendermaßen aus:

# file: vrr
# owner: root
# group: root
user::rwx
group::---
group:domänenname-gikt:rwx
group:domänenname-gvrr:rwx
mask::rwx
other::---
default:user::rwx
default:group::---
default:group:domänenname-gikt:rwx
default:group:domänenname-gvrr:rwx
default:mask::rwx
defaultther::---


Danke im Voraus

Gruß
Andreas

 

[rolle]

Ich glaube die Antwort heißt nicht acl=no, sondern 'inherit acls = yes'. Lies dazu mal die entsprechende Stelle der Manpage von smb.conf durch.

 

[Yehudi]

http://www.oreilly.de/german/freebooks/samba2ger/appb.html#988775

inherit acls = Boolescher Wert
Zulässige Werte: YES, NO
Default: NO
Ist diese Option gesetzt, werden Dateien und Unterverzeichnisse mit den gleichen ACLs erzeugt wie ihre übergeordneten Verzeichnisse. Verzeichnisse erhalten die Unix-Rechte 0777 (volle Zugriffsrechte), wodurch sichergestellt wird, dass die ACL auf dem Verzeichnis die tatsächlichen Rechte bestimmt, die die Clients erhalten haben. Erfordert POSIX ACL-Unterstützung auf dem Samba-Host-System.

 

[stka]

Deine Parameter sind die folgenden in der smb.conf:
Für Verzeichnisse:

• directory security mask (S)
  This parameter controls what UNIX permission bits can be modified when a Windows NT client is manipulating the UNIX permission on a directory using the native NT security dialog box.
  This parameter is applied as a mask (AND'ed with) to the changed permission bits, thus preventing any bits not in this mask from being modified. Make sure not to mix up this parameter with force directory security mode, which works similar like this one but uses logical OR instead of AND. Essentially, zero bits in this mask may be treated as a set of bits the user is not allowed to change.
  If not set explicitly this parameter is set to 0777 meaning a user is allowed to modify all the user/group/world permissions on a directory.
  Note that users who can access the Samba server through other means can easily bypass this restriction, so it is primarily useful for standalone "appliance" systems. Administrators of most normal systems will probably want to leave it as the default of 0777.
  Default: directory security mask = 0777
  Example: directory security mask = 0700

Für Dateien:

• security mask (S)
  This parameter controls what UNIX permission bits can be modified when a Windows NT client is manipulating the UNIX permission on a file using the native NT security dialog box.
  This parameter is applied as a mask (AND'ed with) to the changed permission bits, thus preventing any bits not in this mask from being modified. Make sure not to mix up this parameter with force security mode, which works in a manner similar to this one but uses a logical OR instead of an AND.
  Essentially, zero bits in this mask may be treated as a set of bits the user is not allowed to change.
  If not set explicitly this parameter is 0777, allowing a user to modify all the user/group/world permissions on a file.
  Note that users who can access the Samba server through other means can easily bypass this restriction, so it is primarily useful for standalone "appliance" systems. Administrators of most normal systems will probably want to leave it set to 0777.
  Default: security mask = 0777
  Example: security mask = 0770