# Samba Berechtigung

## denic

Hallo,

bin dabei einen Samba PDC Server unter Gentoo Linux

aufzusetzen.

Bin über folgendes Problem gestolpert :

Auf einem Share soll das Anlegen von Dateien und Verzeichnissen

gestattet, aber das löschen verboten werden.

Mit welcher Konfiguration kann ich dieses Problem lösen ?

----------

## moe

Mit create mask = 0500. Allerdings ist damit auch kein ändern möglich..

Gruss Maurice

----------

## denic

Muss ich dann nicht auch ein "writeable = yes" setzen ?

Dann könnte aber auch wieder gelöscht werden, oder ?

----------

## Ragin

Nicht zwingend, da SAMBA immer noch auf die UNIX Rechte angewiesen ist.

Solange der UNIX Benutzer keine Rechte hat zum ändern/löschen kann auch SAMBA nichts verrichten.

----------

## denic

OK. Habe mittels "writeable = yes" die Möglichkeit gegeben, Dateien und Ordner zu erstellen. Diese bekommen durch "create mask = 0500" die

Attribute verpasst, dass sie nicht verändernt werden können. 

Wie kann ich nun aber von dem gleichen Wind$s Arbeitslpatz, von dem 

eben noch eine Person Dateien auf dem Samba Server hinterlassen hat,

Änderungen und Löschungen vornehmen. Muss ich mich dazu komplett

ab und wieder anmelden ?

Vereinfacht gesagt, wie ändert der authorisierte Benutzer Dateien, nachdem sie von einem einfachen Benutzer erstellt wurden ?

----------

## denic

Mir ist auch eben aufgefallen, dass wenn Dateiennamen Umlaute enthalten, diese unter Linux als Fragezeichen angegeben werden.

Habe aber "character set = ISO8859-1" und "Client Code Page = 850"

in meiner smb.conf eingetragen. Parallel dazu erhalte ich unter 

Linux beim Tippen von "ä", "ü" und "ö" andere Zeichen.

----------

## Ragin

Wenn deine Windowsnutzer einmal etwas schreiben und einmal auch verändern sollen, reicht es aus, das Netzlaufwerk zu trennen und mit einem anderen Namen wieder neu zu verbinden.

```

net use * \\sambaServer\Freigabe /USER:Benutzername

bzw.

net use /help

```

Damit kannst du dir auch noch kleine .bat Scripte schreiben, die autom. das Laufwerk neu verbinden und den entsprechenden Benutzer verwenden.

Zu deinem Problem mit den Schriften unter Linux findest du unter www.gentoo.de -> "Übersetzte Dokumentationen" -> "Lokalisierung" entsprechende Hinweise. Wird wahrscheinlich an deinem Consolefont liegen.

Das Problem unter Samba, dass er Umlaute durch ein ? ersetzt kenne ich leider und habe bisher auch noch keine 100% funktionierende Lösung dafür gefunden.

Die Character set und Client Code Page Funktionen sind zwar recht nützlich, aber funktionieren komischerweise nicht immer.

Teste auch mal deine Samba Konfiguration mit dem Befehl "testparm".

Ich glaube eine Option kannten die neuen Samba Versionen gar nicht mehr und gaben da einen entsprechenden Fehler aus.

Das ist zwar nicht hinderlich, dass Samba funktionieren kann, aber auch nicht gerade die feine Art, wenn etwas enthalten ist, was nicht existiert.

----------

## Carlo

Google mal nach directory sticky bit.

Carlo

----------

## denic

WOW, 

Klasse Tipp mit dem Sticky Bit. Somit kann ich Dateien beliebig erstellen

lassen und kann somit sicher gehen, dass kein anderer sie löscht.

Bleiben nur noch die Fragen ob ich auch mit Samba das Sticky Bit nutzen

kann. Existiert für Samba2 oder 3 eine Option die mir beim erstellen von

Verzeichnissen das Sticky Bit automatisch setzt ?

Wird das Sticky Bit automatisch in alle neuen in ihm erstelle Verzeichnisse vererbt ?

----------

## denic

Habe nun meinen Samba Server soweit am laufen.

Nun zu meiner letzten Frage :

Mittels dem Sticky Bit habe ich es geschafft, dass alle Benutzer auf

Samba Freigaben nur Dateien erstellen und Dateien ändern können die

sie selbst angelegt haben (create mask=0700). Darüber hinaus

brauche ich nun einen Benutzer der Administrator Rechte für diese 

Fragabe besitzt. 

Es soll damit auf jedem Win$ows Rechner ein Script auf dem Desktop liegen, dass wie folgt aussieht : 

```

net use L: \\servername\freigabe /USER:administrator

explorer L:

```

Damit soll auf jedem Rechner auch das Löschen durch den Administrator

erlaubt werden.

Jedoch bekomme ich nach dem Eingeben des Kennwors keinen Zugriff.

Angeblich soll das Kennwort falsch sein.

Unter Linux habe ich mittles "smbpasswd -a -e administrator" den Benutzer angelegt. Auch ist er in der /etc/samba/smbusers auf den 

"root" User gemapped.

Was habe ich falsch gemacht ?

----------

## toskala

den fehler hatte ich auch, ich hab mittels swat mal die ip-range festgelegt von den usern die zugreifen dürfen - danach gings dann. frag mich aber bitte net wieso, völlig unsinnig aber tat.

----------

## denic

Welchen Benutzer muss ich mit "Benutzername" und "Kennwort"

angeben, wenn ich unter Windows 2000/XP einen Rechner in

meine existierende Samba Domain hängen will.

Habe das Problem, dass jeglicher Benutzername mit Kennwort nicht

angenommen wird. Entweder ich erhalte die Meldung die Domäne würde

gar nicht existieren oder Zugriff verweigert aufgrund falscher Anmelde-

informationen.

Habe unter Linux mittels "smbpasswd -a -r root" den root User der smbpasswd hinzugefügt und anschließend ihn noch in meine smbusers

dem Unix Benutzer root zugeordnet.

Das gleiche Problem mit dem Benutzername Administrator.

Jemand eine Idee?

----------

## toskala

dazu weiss ich leider wenig, ich habe die konstellation immer andersherum, nt4/ads und dazu halt eben linux clients, sorry   :Confused: 

----------

## r6warrior

Hi,

ich hab genau ein ähnliches prob ...

Wenn ich versuche einen windo$ rechner in die domain zu hängen, bekomme ich ständig die meldung :

[img:74bd685a62]http://www.flashpoint-sniper.com/images/domain.jpg[/img:74bd685a62]

Kann da jemand helfen?

Edit ian!:

Doppler entfernt.

----------

## r6warrior

Autsch ....   :Confused: 

SPAAAAAAAAAAAAAAAAAAAMMMMMMMMMM  ...   :Very Happy: 

Könnte einer mal die oberen 3 Postings löschen .... danke

----------

## dertobi123

 *r6warrior wrote:*   

> Kann da jemand helfen?

 Ohne Fehlermeldung nein.

Gruß Tobias

----------

## r6warrior

Ich dachte, das,iss ne Fehlermeldung ...  :Wink: 

Also, normal als workgroup funzt alles. Von der anmeldung über die rechte der netz-sorcen bis hin zum drucken. Doch ich will das teil nicht als workgroup sondern als domain. 

Im messagelog hab ich noch folgendes entdeckt :

```

Sep 24 21:44:53 map smbd[1025]: [2003/09/24 21:44:53, 0] smbd/server.c:main(835)

Sep 24 21:44:53 map smbd[1025]:   standard input is not a socket, assuming -D option

Sep 24 21:44:53 map nmbd[1027]: [2003/09/24 21:44:53, 0] nmbd/nmbd.c:main(827)

Sep 24 21:44:53 map nmbd[1027]:   standard input is not a socket, assuming -D option

Sep 24 21:44:53 map nmbd[1028]: [2003/09/24 21:44:53, 0] nmbd/nmbd_logonnames.c:add_logon_names(165)

Sep 24 21:44:53 map nmbd[1028]:   add_domain_logon_names:

Sep 24 21:44:53 map nmbd[1028]:   Attempting to become logon server for workgroup MAP on subnet 10.0.2.123

Sep 24 21:44:53 map nmbd[1028]: [2003/09/24 21:44:53, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(291)

Sep 24 21:44:53 map nmbd[1028]:   become_domain_master_browser_bcast:

Sep 24 21:44:53 map nmbd[1028]:   Attempting to become domain master browser on workgroup MAP on subnet 10.0.2.123

Sep 24 21:44:53 map nmbd[1028]: [2003/09/24 21:44:53, 0] nmbd/nmbd_become_dmb.c:become_domain_master_browser_bcast(305)

Sep 24 21:44:53 map nmbd[1028]:   become_domain_master_browser_bcast: querying subnet 10.0.2.123 for domain master browser on workgroup MAP

Sep 24 21:44:54 map sshd[1059]: Server listening on 0.0.0.0 port 22.

Sep 24 21:44:58 map nmbd[1028]: [2003/09/24 21:44:58, 0] nmbd/nmbd_logonnames.c:become_logon_server_success(124)

Sep 24 21:44:58 map nmbd[1028]:   become_logon_server_success: Samba is now a logon server for workgroup MAP on subnet 10.0.2.123

Sep 24 21:45:02 map nmbd[1028]: [2003/09/24 21:45:02, 0] nmbd/nmbd_become_dmb.c:become_domain_master_stage2(114)

Sep 24 21:45:02 map nmbd[1028]:   *****

Sep 24 21:45:02 map nmbd[1028]:

Sep 24 21:45:02 map nmbd[1028]:   Samba server MAP is now a domain master browser for workgroup MAP on subnet 10.0.2.123

Sep 24 21:45:02 map nmbd[1028]:

Sep 24 21:45:02 map nmbd[1028]:   *****

Sep 24 21:45:16 map nmbd[1028]: [2003/09/24 21:45:16, 0] nmbd/nmbd_become_lmb.c:become_local_master_stage2(404)

Sep 24 21:45:16 map nmbd[1028]:   *****

Sep 24 21:45:16 map nmbd[1028]:

Sep 24 21:45:16 map nmbd[1028]:   Samba name server MAP is now a local master browser for workgroup MAP on subnet 10.0.2.123

Sep 24 21:45:16 map nmbd[1028]:

Sep 24 21:45:16 map nmbd[1028]:   *****

```

Also wieso bekomme ich die meldung im oberen posting. Sieht doch so aus , als wenn alles läuft ... oder ?!?!?!?!?

Edit ian!:

Doppler gelöscht.

----------

## r6warrior

Was iss´n dass ...

Hab extra darauf geachtet, nur einmal bei absenden zu klicken ...  :Sad: 

EDIT: und jetzt hab ich die übertragung abgebrochen und der post ist trotzdem da ... ??????

Edit ian!:

Hui! Du hälst mich aber auch gut auf Trab!  :Wink: 

Wenn Du postest und es länger als normal dauert, bis der Server antwortet, dann breche die Übertragung ab und schaue nach, ob der Post bereits durch ist. Das Problem ist bekannt und wird hoffentlich mit der nächsten Boardversion behoben.

----------

## sschlueter

 *Ragin wrote:*   

> Nicht zwingend, da SAMBA immer noch auf die UNIX Rechte angewiesen ist.
> 
> Solange der UNIX Benutzer keine Rechte hat zum ändern/löschen kann auch SAMBA nichts verrichten.

 

Hast du das mal ausprobiert? Samba scheint sich überhaupt nicht für Unix-Rechte zu interessieren. Als Gast (Unix-User ftp) kann ich in einer schreibbaren Freigabe sogar Dateien löschen, die nur der Unix-User root löschen darf.

----------

## sschlueter

 *denic wrote:*   

> 
> 
> Habe das Problem, dass jeglicher Benutzername mit Kennwort nicht
> 
> angenommen wird. Entweder ich erhalte die Meldung die Domäne würde
> ...

 

Zumindest WinXP braucht man bei Samba < 3 den SignOrSeal-Registry-Patch, sonst wird der Domänencontroller gar nicht erst gefunden.

 *denic wrote:*   

> 
> 
> Habe unter Linux mittels "smbpasswd -a -r root" den root User der smbpasswd hinzugefügt und anschließend ihn noch in meine smbusers
> 
> dem Unix Benutzer root zugeordnet.
> ...

 

Das "-r" gehört da soweit ich weiß nicht hin. Und der Samba-Root-Benutzer muß nichts mit dem Unix-Root-Benutzer zu tun haben.

----------

## r6warrior

So,

an der domain kann ich mich jetzt anmelden. Leider krieg ich beim neustart die Meldung, dass der rechnername schon im netz existiert. Ausserdem iss die domain wech.

----------

## r6warrior

Bei mir läuft jetzt alles. Wenns jemand interessiert hier meine smb.conf :

```

[global]

        guest account = ftp

        load printers = yes

        printing = cups

        workgroup = MAP

        os level = 65

        add user script = /usr/sbin/adduser -d /dev/null -g 100 -s /bin/false -M %u

        encrypt passwords = yes

        security = user

        share modes = no

        domain admin group = @adm,@root

        domain logons = yes

[homes]

        guest ok = no

        create mask = 0700

        browseable = no

        directory mask = 0700

        locking = no

        writable = yes

[netlogon]

        path = /var/lib/samba/netlogon

        writable = no

        guest ok = no

[profiles]

        browseable = no

        writable = yes

        path = /home/%u/profile

        create mask = 0600

        directory mask = 0700

        browsable = no

[Lexmark Optra E310]

        printer = LEXMARK

        comment = Drucker an Intra

        printer = LEXMARK

        comment = Drucker an Intra

        printable = yes

        path = /var/spool/cups/tmp

[RA]

        guest account = no

        writable = yes

        printable = no

        write list = @ra

        path = /home/intra/ra

        force directory mode = 0775

        force create mode = 0775

        force group = ra

        group = ra

        comment = RA

        valid users = @root,@ra

[NRA]

        guest account = no

        writable = yes

        printable = no

        write list = @ra,@nra

        path = /home/intra/nra

        force directory mode = 0775

        force create mode = 0775

        force group = ra

        group = nra

        comment = NRA

        valid users = @root,@ra,@nra

[Ablage]

        guest account = no

        writable = yes

        printable = no

        write list = @ra,@nra,@mit

        path = /home/intra/ablage

        force directory mode = 0775

        force create mode = 0775

        force group = ra

        group = mit

        comment = Ablage

        valid users = @root,@ra,@nra,@mit

```

----------

