ACL für Share [share] falsch? Jeder Benutzer hat VOLLEN Zugriff auf die Tauschordner

Hallo Team,
nach dem Wechsel von 6.3 auf 7 bin ich begeistert über eure Arbeit.
Allerdings ist mir ein Fehler aufgefallen:
Alle User haben vollen Zugriff auf alle Ordner der [share] - Tauschordner für alle Klassen und Projekte.
Normalerweise werden einem Schüler doch nur der Tauschordner der eigenen Klasse und die Tauschordner der Projekte angezeigt, in denen der Schüler eingetragen ist.

Folgendes Fehlverhalten tritt beim Mounten der Share immer auf:

1. mount.cifs //server/default-school /mnt/ -o user=schuelername dom=LINUXMUSTER pass=…
   ODER
   mount.cifs //server/default-school /mnt/ -o user=schuelername dom=linuxmuster.lan pass=…
2. ls -la /mnt/share/classes
   Hier werden nun alle Klassen und Projekte mit Schreibrechten in allen Ordnern angezeigt.

Mein LM7-Server ist im Originalzustand, außer dass ich ein paar zusätzliche Shares in der smb.conf eingetragen habe. Ansonsten keine Änderung am AD und Samba.

Kann das jemand bestätigen und am besten lösen?
Oliver

Hallo,

Ping @roesslerrr - das war ein bekannter Fehler im Herbst, tritt wohl nur bei Linuxclients auf. Für das Release sollte das beseitigt sein oder?

VG

Frank

Hallo Frank!
Das Problem bestand noch mit aller Versionen, die ich vor den Relesse zun Testen bekommen habe.
Ich kann jetzt nicht mal sagen, ob das behoben ist. Bei uns ist es noch fehlerhaft.
Gruß - Rainer

Hallo,

danke für die info. Ich habs befürchtet. Ist ja auch kein Grund, nicht zu Releasen, aber das war sicherlic nicht deine Entscheidung, wenn ich die Entwicklung des Projekts über die Jahre so vor meinem inneren Auge Revue passieren lasse.

Dennoch ist ein Release mitvso einem Fehler ein klarer Fall von:

VG Frank

Hallo Frank!

Tatsächlich schätze ich persönlich den Fehler als nicht so gravierend
ein und wir haben diesen Fehler seit Beginn des Schuljahres an der Schule.

Bisher haben sich manche geärgert, dass in den Tauschverzeichnissen viel
Müll liegt und man nicht löschen kann. Jetzt liegt da eher zu wenig als
zu viel, denn alle dürfen löschen.

In der Nextcloud haben wir das entsprechend. Es gibt („automatisch“ vom
admin von Hand angelegt) für jede Klasse ein Verzeichnis, in dem alle
Mitglieder alle Rechte haben. Um mal kurz etwas zu teilen ist das
ausreichend und wer etwas anderes haben möchte, soll selbst teilen.

Gruß - Rainer

Hallo Oliver!

Ich habe ja schon zu den Rechten geschrieben, aber dein Anliegen war
noch umfassender.

Es ist tatsächlich, so dass man standardmäßig nur die
Tauschverzeichnisse der Gruppen/Klassen sieht in denen man Mitglied ist.
Und in diesen Verzeichnissen hat man alle Rechte, kann also Dateien
ändern und löschen.

Wenn ich dich richtig verstanden habe, dann haben bei dir die Nutzer
Zugriff auf ALLE Tauschverzeichnisse. Das entspricht nicht dem Standard.

Aber welche zusätzlichen Shares benötigst du? Vermutlich außerhalb von
/srv/samba.

Gruß - Rainer

Hallo Rainer

ob das jetzt ein Bug oder ein Feature ist, darüber kann man sich vielleicht streiten, obwohl das in meinen Augen klar ist. Aber auch hier gilt ja, „wer macht bestimmt“, weswegen bis auf wenige Auserwählte, fast niemand mehr gehört wird.

Aber:

1. Nicht jeder hat eine NC
2. Es gibt, zumindest bei uns, Anwendungen des Tauschverzeichnisses, die durch die NC nicht abbildbar sind und so nicht mehr gehen.
3. Diese Funktionsweise der Tauschverzeichnisse ist meines Erachtens auch datenschutzrelevant.

VG

Frank

Hallo Frank!

Ich sehe das auch als bug, aber leider habe ich bisher keine Lösung
dafür gesehen.

Da man aber nur in Tauschverzeichnissen von Gruppen Vollzugriff hat,
wenn man in der zugehörigen Gruppe Mitglied ist, sehe ich die
Datenschutzproblematik nicht. (Ich habe das soeben nochmals am
Produktivsystem überprüft.)
Bei Oliver scheint dies anders zu sein, da er scheinbar für alle
Tauschverzeichnisse Vollzugriff hat. Ich vermute aber, dass dies mit
seinen zusätzlichen shares zusammenhängt. (Daher meine Frage an ihn in
der anderen Antwort.)

Für andere Anwendungen der Tauschverzeichnisse kann das aktuelle
Verhalten tatsächlich ein Showstopper sein, daher hoffe ich auf einen
Menschen, der Windows- und Linux-Clients einsetzt und damit eine
Einstellung findet durch die nur Lehrkräfte in den Tauschverzeichnissen
löschen können. Das funktioniert gerade nur mit Windows-Clients. Da ich
keine Windows-Maschine habe und auch nicht haben werde, kann ich mich
nicht darum kümmern.

Ich könnte natürlich nach einer Lösung suchen, die nur für Linux-Clients
funktioniert, aber solche Sonderlösungen sind ja auch dir ein Dorn im
Auge. (Trotzdem gibt es solche zurecht angemahnten
quick&dirty-Sonder-Spezial-Lösungen in Leonberg, weil oft die Zeit nicht
mehr hergibt. Sorry!)

Gruß - Rainer

Hallo,

die ganze Problematik ist bekannt und seit dem Treffen in Pfinztal wird
auch daran gearbeitet.
Mein letzter Stand ist vom 14.4.2020 wo mir ein Entwickler schrieb:

Hallo,

sorry: der post wurde durch discours abgeschnitten: zuviele Trennzeichen.
Also nochmal:

ich hatte bei den Entwicklern eine Woche vor Releas diesbezüglich nachgefragt und folgendes als Antwort erhalten:

an den ACLs sind wir dran, ich konnte das Verhalten von Rainer
nachstellen aber wir haben ein Fix dafür gemacht und danach hat es bei
unseren Testumgebungen immer funktioniert. Ein Unterschied zwischen
Ubuntu und Windows kann es eigentlich nicht geben.

Wo der Fix jetzt gerade steckt, weiß ich nicht und weswegen er es nicht ins Releas geschafft hat weiß ich auch nicht.
Ich bin mir aber sicher, dass es dafür gute Gründe gibt.

Ich werde da nochmal nachfragen und versuchen den Fix über das testing repo bereit stellen zu lassen, dann können Rainer und ich ihn in der Schule testen.
Ich habe neben vielen Ubuntu Kisten auch noch ein paar Windows Kisten.

LG

Holger

Hallo Rainer,

tragisch ist das mit den Rechten natürlich nicht, da es ja „nur“ die Austauschordner sind. Aber es wäre halt schön, wenn jeder Schüler wirklich nur den Austauschordner seiner Klasse und Projekte sehen kann. Aufgefallen ist mir das erst bei der Anbindung der Nextcloud, die ich gerne zukünftig nutzen möchte.

Aus alten Zeiten mit LM6 hatte meine Schule einen eigenen globalen Vorlagenordner benutzt, der als Share für die Schüler nur lesbar war.
Um mehrere Schüler an einem PC zu erlauben, haben wir keinen Domänenbeitritt genutzt, sondern die PC fuhren lokal mit Adminrechten hoch und einem Scheriff-System zum Schutz. Die Heimatverzeichnisse etc. bekamen die Schüler durch ein Script mit net use Befehlen.
Dabei nutzten wir dann auch einen globalen Austauschordner und einen globalen Vorlagenordner, da das Verteilen und Einsammeln etc über die Schulkonsole zu umständlich für den Betrieb in der Schule war. Das ist ja nun mit dem transfer-Ordner zwar alles einfacher, aber meine Kollegen sind es gewohnt, dass es diesen Ordner gibt. Da die Share von mir in smb.conf angelegt und in AD eingebunden ist, müssen natürlich bei der Benutzung die Lehrer die Klassen- und Projekt-Ordner selber anlegen. Aber das ist ok so.

Vielleicht habe ich auch einfach etwas bei der neuen Benutzung nicht verstanden Die Erfahrung kommt ja mit dem produktiven Einsatz :))

Gruß
Oliver

Hallo Frank,

Kritik ist sicher angebracht, aber in der Form unsolidarisch.

VG Thomas

Naja, das unsolidarische hab ich in eine Mail gepackt

Hallo,

der Vollständigkeit halber sei erwähnt, dass das Problem seit mindestens November 2019 bekannt ist, und das Release trotz des bekannten Fehler erfolgte und das stand bestimmt nicht in den Releasaenotes, dass das nicht geht, und genaus so macht es MS auch. Darauf bezieht sich auch mein „Kannste schon so machen…“

VG

Frank

Hallo Oliver!

Es ist nicht der Standard, dass man alle Tauschverzeichnisse der
Klassen/Gruppen sieht. Dann würden bei uns alle Benutzer 200
Tauschverzeichnisse angezeigt bekommen. Das wäre unbenutzbar.
Ich gehe daher davon aus, dass die von deinen zusätzlichen shares kommt.

Aber so wie ich das verstehe, ergänzt du die Lösung mit deinen shares um
eine Sache, die schon drin ist.
Du machst die zusätzlichen shares auf dem Server, um
Klassentauschverzeichnisse anzubieten?
Warum machst du das? Die gibt es doch schon. Für jede Klasse/Gruppe gibt
es so ein Verzeichnis und die Mitglieder können darauf zugreifen - ohne
Schulkonsole, nur direkt über einen Dateimanager.

Vermutlich habe ich etwas übersehen …?

Gruß - Rainer

Hallo Rainer,

auf die zusätzliche Share Vorlagen sollen die Lehrer per Dateimanager schreibenden Zugriff haben und die Schüler nur lesenden.
Zudem brauche ich eine Share Programme, die mit dem Laufwerksbuchstaben z lauter Programme den Schülern zu laden anbietet, auf die aber nur Administratoren Schreibrechte haben.
Die restlichen Shares habe ich nur eingerichtet, weil wir sie früher auch hatten und die Kollegen die kennen

Ich habe dir mal meine smb.conf angehängt. Vielleicht findest du darin ja einen Fehler von mir.

Vielen Dank für eure tolle Arbeit bei LM7 und dir speziell für die Hilfen.

Grüße
Oliver

(Dateianhang smb.conf fehlt)

Hallo Rainer,

auf die zusätzliche Share Vorlagen sollen die Lehrer per Dateimanager schreibenden Zugriff haben und die Schüler nur lesenden.
Zudem brauche ich eine Share Programme, die mit dem Laufwerksbuchstaben z lauter Programme den Schülern zu laden anbietet, auf die aber nur Administratoren Schreibrechte haben.
Die restlichen Shares habe ich nur eingerichtet, weil wir sie früher auch hatten und die Kollegen die kennen

Ich habe dir mal meine smb.conf angehängt. Vielleicht findest du darin ja einen Fehler von mir.

Vielen Dank für eure tolle Arbeit bei LM7 und dir speziell für die Hilfen.

Grüße
Oliver

smb.conf.zip (791 Bytes)

Hi!

Tipp: Für eigene Anpassungen bitte die Datei /etc/samba/smb.conf.admin benutzen. Die smb.conf könnte bei einem Update überschrieben werden.

VG, Thomas

Hallo Rainer, und alle anderen.
Ich glaube, ich habe da ordentlich Mist gebaut, indem ich unsere alte share [gemeinsam] von früher auf denselben Pfad gesetzt habe, wie die neue Share [share] und der Share [gemeinsam] über Windows Vollzugriff gewährt habe.
Kann ich aus dem alten Snapshot von XEN unseres neuen LM7 die LDAP-Datenbank mit den korrekten Einträgen kopieren? Ist das eine einfache Datei, oder komplexer. Dann würde ich die Datei in den aktuellen Snapshot kopieren und die User neu anlegen.

Liebe Grüße
Oliver

Hallo Oliver,

Kann ich aus dem alten Snapshot von XEN unseres neuen LM7 die
LDAP-Datenbank mit den korrekten Einträgen kopieren? Ist das eine
einfache Datei, oder komplexer. Dann würde ich die Datei in den
aktuellen Snapshot kopieren und die User neu anlegen.

reicht es nicht die orginal smb.conf von uns wieder her zu stellen und
samba zu restarten?
Oder schreibt der so geraffel in die Datenbank?

LG

Holger