samba und office-dokumente

asmoday · 11 Mai 2006

hallo zusammen,

habe hier auf der arbeit ein kleines problem mit unserem samba server.
aufgrund von zugriffsberechtigungen soll das sticky-bit verwendet werden,
damit bei dateiänderungen die gruppenrechte erhalten bleiben.

ich habe eine freigabe unter der alle neu erstellten objekte mit der rechte maske
2775 erstellt werden sollen (sind keine unter linux ausführbaren dateien). bei txt, bmp
und vsd dateien funktioniert das soweit auch. nur wenn ich ein office-dokument (egal ob
ms-office oder openoffice) erstelle hat es die rechtemaske 0775.

das share ist wiefolgt eingerichtet:

[FREIGABE]
path = Pfad
read only = No
force create mode = 2775

Betriebssystem ist SLES9 und SAMBA ist in der version 3.0.9-2.1.5-SUSE installiert.

gibt es eine möglichkeit samba zu sagen, dass ALLE dateien (verzeichnisse funktionieren
gottseidank) mit 2775 angelegt werden sollen?

jengelh · 11 Mai 2006

man setfacl
Das ist sogar samba-unabhängig. Funktioniert wunderprächtig hier, z.B. um einen Lehrer Zugriff auf alle von Schülern erstellte Dateien (in einem Ordner) zu geben:

Code:

chmod 1777 ORDNER
setfacl -d -m u:LEHRERUSERNAME:rwx ORDNER

rolle · 11 Mai 2006

Ich erinnere mich, hier mal gelesen zu haben, daß MSOffice mit den Rechten auf einem Sambaserver etwas eigen ist. Deshalb würde ich auch zu ACLs raten.

asmoday · 12 Mai 2006

hallo,

danke erstmal für eure antworten.

die user, die auf diesem share arbeiten sollen haben alle als hauptgruppe
users. das verzeichnis gehört z.b. der gruppe test (die betreffenden user sind da natürlich auch drin).
wenn jetzt ein benutzer eine datei aus diesem verzeichnis geändert hat oder eine neue datei erstellt hat,
gehörte diese natürlich benutzer:users und alle hatten zugriff drauf.

habe den befehl mal ausprobiert, aber leider gehören die dateien
jetzt benutzer:users. jetzt dürfte ja wieder jeder schreiben

ich möchte ja, dass wenn ich eine neue datei in einem verzeichnis,
das der gruppe test gehört erstelle oder ändere, diese auch (weiterhin) benutzer:test gehört
(unabhängig ob ms-office oder net)

kann ich da in der smb.conf oder sonstwo nicht irgendwas drehen?

rolle · 12 Mai 2006

Falls ich Dich jetzt richtig verstanden habe, dann hast Du ein Verzeichnis, auf das die Mitglieder der Gruppe test Zugriff haben sollen, alle anderen erst einmal nicht. Dann setze doch einfach die Berechtigung des Verzeichnisses auf 770, übereigne es per chgrp der Gruppe test und gut ist. Was sich unterhalb des Verzeichnisses abspielt ist ja dann erst einmal egal, da nur Mitglieder von test Zugriff darauf haben.

asmoday · 12 Mai 2006

hallo rolle,

du hast mich fast richtig verstanden:
die benutzer der gruppe test sollen vollzugriff auf die dateien haben.
alle anderen sollen zumindest lesend auf die dateien zugreifen können.

für bitmaps, textdokumente und sogar visio-shapes funktioniert's auch :roll:

wenn ich z.b. word-dokumente von meinem pc auf den server kopiere passen die rechte, nur nicht wenn man sie direkt auf dem server erstellt.

gruß asmoday

edit: keiner mehr ne idee?

asmoday · 19 Mai 2006

keiner mehr ne idee dazu?

stka · 19 Mai 2006

Das Problem liegt da bei Microsoft. Wenn du in Word oder Excel eine Datei änderst und dann abspeicherst, wird die original Datei gelöscht und eine neu Datei erzeugt, diese gehört natürlich dann derjenigen Anwenderin die die Datei "erstellt" hat. Du kannst natürlich die Rechte die eine neu Datei erhalten soll über die umask steuern "umask 003" das Verzeichnis auf 2775 setzen jetzt jetzt gehören alle Einträge der dem Verzeichnis zugeordneten Gruppe und jeder kann lesen.

asmoday · 20 Mai 2006

hallo stka,

dass die datei demjenigen gehört, der sie als letztes geändert hat wäre ja
gar nicht so schlimm (dann könnte man sehen wer zuletzt was dran geändert hat).
dummerweise gehören die "neu erstellten" dateien :users statt :test... somit kann
wieder jeder an den dateien was ändern -> umask 003 und verzeichnis auf 2775
setzen bringt wieder nix da jeder in :users ist.

ausserdem tritt der effekt genauso bei open-office dateien auf.
visio müsste nach dem gleichen prinzip wie word arbeiten, aber mit vsd dateien geht's ja.
ich versteh die logik hinter dem "geht -> geht nicht"-prinzip net.

stka · 20 Mai 2006

Das Verzeichnis sollte der Gruppe test gehören, sonst macht das auch keinen Sinn

asmoday · 20 Mai 2006

tut es ja auch. aber die, die in diesem verzeichniss arbeiten sollen, sind nur in der gruppe test und es ist nicht ihre hauptgruppe -> neue oder bearbeitete dateien gehören (wieder) :users. zumindest war es ohne umask 003 so.

stka · 20 Mai 2006

wenn dir Dateisystemrechte unter Linux so aussehen:
drwxrwsr-x root test
und im Samba die Rechte für Verzeichnisse auf 2775 stehen sollte alles klappen.

asmoday · 21 Mai 2006

hallo stka,

rechte sind wie du geschrieben hast. und es funkioniert ja auch, dass neue
txt-dateien oder bmps oder vsds die gewünschte maske haben, aber bei doc
xls ppt und mdb funktioniert es nicht.
das is ja mein problem. es funktioniert, aber leider nicht bei der sorte dateien,
auf die es ankommt

stka · 21 Mai 2006

hast du mal den Parameter "force group = <gruppe>" getestet? Schau mal in der man-page zur smb.conf dort ist der Parameter beschrieben

asmoday · 21 Mai 2006

hallo,

leider kommt force group auch nicht in frage, da der ordner leider
unterhalb einer freigabe liegt und nicht alles was unter der freigabe liegt
der gruppe test gehören soll...

scheint so wohl nicht zu funktionieren, wie wir das gern hätten. :roll:

stka · 21 Mai 2006

Dann solltest du dir deine Verzeichnisstruktur überdenken und innerhalb der Freigabe weiter Verzeichnisse anlegen und die den Gruppen zuordnen.

asmoday · 22 Mai 2006

leider gottes hab ich mir die verzeichnisstruktur nicht ausgedacht...
war ne vorgabe von oben. glaub net, dass man den ordner da einfach so
"ausgliedern" könnte aus der struktur...