LM7 - plötzliches Problem mit Zugriffsrechten auf /srv/samba/schools/default-school

Hallo Team,

wir haben LM7 erfolgreich seit Schulbeginn 20 im produktiven Einsatz; leider taucht plötzlich ein erstaunliches Phänomen auf:
Phänomen: einige Schüler haben keinen Zugriff mehr auf /srv/samba/schools/default-school
Folge: Da sich unsere Schüler per MonstaFTP übers Internet von zuhause aus anmelden, haben die Schüler keinen Zugriff mehr auf ihr Heimatverzeichnis.

Dank Holgers Hilfe habe ich das Phänomen wie folgt eingegrenzt.

1. Das Problem liegt direkt am Server und hat nichts mit Clientzugriffen übers Netz zu tun

2. Die betroffenen Schüler haben auf dem Server keinen Zugriff auf /srv/samba/schools/default-school, wenn ich mit su zum entsprechenden Schüler wechsel

• Bsp1: su -c „ls /srv/samba/schools/default-school“ leenenlisa
  => ls: Öffnen von Verzeichnis ‚/srv/samba/schools/default-school‘ nicht möglich: Keine Berechtigung
• Bsp2: su -c „ls /srv/samba/schools/default-school“ zimmermannoliver
  => adminprogram aquota.group aquota.user examusers …

3. ich habe für die betroffenen Schüler festgestellt, dass sie NICHT in der Gruppe LINUXMUSTER/s_default_school sind und die anderen schon

• Bsp1: su -c „groups“ bohlrebecca
  => users BUILTIN\users LINUXMUSTER\webfilter LINUXMUSTER\internet LINUXMUSTER\intranet LINUXMUSTER\printing LINUXMUSTER\wifi LINUXMUSTER\q1 LINUXMUSTER\bohlrebecca
• Bsp2: su -c „groups“ zimmermannoliver
  => users BUILTIN\users LINUXMUSTER\s_default-school LINUXMUSTER\students LINUXMUSTER\schools LINUXMUSTER\all-students LINUXMUSTER\all-internet LINUXMUSTER\all-wifi LINUXMUSTER\all-webfilter LINUXMUSTER\all-intranet LINUXMUSTER\all-printing LINUXMUSTER\webfilter LINUXMUSTER\internet LINUXMUSTER\intranet LINUXMUSTER\printing LINUXMUSTER\wifi LINUXMUSTER\ingb LINUXMUSTER\zimmermannoliver

4. Wenn ich mit usermod -a -G s_default-school bohlrebecca den Schüler manuell hinzufüge werden manchmal alle fehlenden Gruppen ergänzt und es klappt wieder alles wie gewohnt. Aber der Befehl klappt leider nur bei einigen Schülern, bei anderen gibt es zwar keine Fehlermeldung, aber die Gruppen werden nicht ergänzt.

5. Wenn ich einen neuen Schüler per Schulkonsole hinzufüge, ist er bei meinen letzten Versuchen nicht mehr zur Gruppe LINUXMUSTER/default-school hinzugefügt worden und er hat damit die beschriebenen Probleme.

Wird irgendjemand daraus schlau und kann mir sagen, was ich tun kann?
Viele Grüße
Oliver

Hallo Oliver,

du vergleichst hier einen Schüleraccount mit einem Lehreraccount: ich
weiß nciht ob das so Zielführend ist (oder ist zimmermannoliver ein
Schüleraccount?).

Dann schaust du dir die Möglichkeiten auf dem Server an, die die Nutzer
haben: das bildet aber nicht das ab, was im Netz gilt: da sitzt samba
dazwischen, und das arbeitet mit ACLs die du hier nicht siehst.

wasgeben den folgende Befehle für einen Schüler bei dem es geht und
einem bei dem es nicht geht aus?

sophomorix-user -iu usernamen

LG

Holger

Hallo Holger,

zimmermannoliver und bohlrebecca sind beides Schüleraccounts. zimmermannoliver habe ich zuletzt neu angelegt zum testen und der Account ging zunächst auch nicht. Dann habe ich mit useradd -a -G s_default-school zimmermannoliver die Gruppe aktualisieren können und seitdem geht der Account.
Diese Methode klappt aber für viele andere Accounts nicht.

Die Zugriffe übers Netz durch einen Windows-PC funktionieren, da wie du schreibst ja dann samba über ACL die Rechte regelt. Da wir aber auch SFTP für den Zugriff von zuhause aus nutzen, loggen sich die Schüler per SFTP direkt auf dem Server ein. Und dabei klappte bislang der Zugriff für alle gleichermaßen gut, doch nun für einige Schüler halt nicht mehr. Laut meinen Tests haben auch einige Lehrer dieses Problem.

Ich habe nun sophomorix-user -iu username für die beiden Accounts ausgeführt und hänge sie der Nachricht an.

Vielen Dank für deine Mühen.
Oliver

P.S. Ich weiß nicht, wie man eine Datei anhängt, daher hier als Klartext

1. korrekter Account: sophomorix-user -iu zimmermannoliver
   Command line::

Hmmh. do not know what to do with option info
Option verbose is a modifier option
Option json is a modifier option
* forcing info mode
Option combinations successfully checked
OK: SophomorixSchemaVersion 1 matches required Version 1
#### Reading /usr/share/sophomorix/devel/sophomorix.ini                   ####
Distro-check: Ubuntu 18.04 is OK
#### Reading /etc/samba/smb.conf                                          ####
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini    ####
#### Parsing: net conf list                                               ####
#### Asking domain passwordsettings from samba                            ####
#### Reading /usr/share/sophomorix/devel/master/sophomorix.conf.master    ####
#### Reading /etc/linuxmuster/sophomorix/sophomorix.conf                  ####
#### OK: default-school share exists                                      ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf           ####
#### Reading /usr/share/sophomorix/devel/master/school.conf.master        ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf       ####

################################################################################
User 1/1 in AD: zimmermannoliver in school default-school
CN=zimmermannoliver,OU=ingb,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
################################################################################
                   displayName: oliver zimmermann                       
                            sn: zimmermann                              
                     givenName: oliver                                  
      sophomorixFirstnameASCII: oliver                                  
        sophomorixSurnameASCII: zimmermann                              
    sophomorixFirstnameInitial: o.                                      
      sophomorixSurnameInitial: z.                                      
           sophomorixUserToken: ---                                     
           sophomorixBirthdate: 12.08.2020                              
                sophomorixUnid: ---                                     
          sophomorixAdminClass: ingb                                    
      sophomorixExitAdminClass: unknown                                 
          sophomorixSchoolname: default-school                          
           sophomorixAdminFile: extrastudents.csv                       
             sophomorixComment: created by sophomorix                   
       sophomorixFirstPassword: pgSe3(86bh                              
            sophomorixExamMode: ---                                     
--------------------------------------------------------------------------------
                sophomorixRole: student                                 
              sophomorixStatus: U                                       
        sophomorixCreationDate: 20200925162453.0Z                       
      sophomorixTolerationDate: 19700101000000.0Z                       
    sophomorixDeactivationDate: 19700101000000.0Z                       
            userAccountControl: 66048                                   
--------------------------------------------------------------------------------
                          mail: zimmermannoliver@linuxmuster.lan        
           sophomorixMailQuota: ---:---:                                
 sophomorixMailQuotaCalculated: 1                                       
--------------------------------------------------------------------------------
               sophomorixQuota: default-school:---:---:new:---:         
               sophomorixQuota: linuxmuster-global:---:---:new:---:     
sophomorixCloudQuotaCalculated: ---                                     
--------------------------------------------------------------------------------
sophomorixWebuiPermissionsCalculated:
   sidebar:view:/view/dashboard: false
   sidebar:view:/view/lmn/landingpage: true
   sidebar:view:/view/ni/nextcloud: true
   sidebar:view:/view/ni/websession: true
------------- sophomorixCustom: ------------------------------------------------
---------- sophomorixIntrinsic: ------------------------------------------------
          sophomorixIntrinsic2: students/ingb/zimmermannoliver          
--------------------------------------------------------------------------------
memberOf: CN=ingb,OU=ingb,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=intranet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=printing,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=webfilter,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=wifi,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
--------------------------------------------------------------------------------
LOGFILES: 11 Entries

More info for users in AD with:
   sophomorix-user -iv -u zimmermannoliver
   sophomorix-quota -iv -u zimmermannoliver
   sophomorix-mail -iv -u zimmermannoliver

2. fehlerhafter Account: sophomorix-user -iu bohlrebecca
   Command line::

Hmmh. do not know what to do with option info
Option verbose is a modifier option
Option json is a modifier option
* forcing info mode
Option combinations successfully checked
OK: SophomorixSchemaVersion 1 matches required Version 1
#### Reading /usr/share/sophomorix/devel/sophomorix.ini                   ####
Distro-check: Ubuntu 18.04 is OK
#### Reading /etc/samba/smb.conf                                          ####
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini    ####
#### Parsing: net conf list                                               ####
#### Asking domain passwordsettings from samba                            ####
#### Reading /usr/share/sophomorix/devel/master/sophomorix.conf.master    ####
#### Reading /etc/linuxmuster/sophomorix/sophomorix.conf                  ####
#### OK: default-school share exists                                      ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf           ####
#### Reading /usr/share/sophomorix/devel/master/school.conf.master        ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf       ####

################################################################################
User 1/1 in AD: bohlrebecca in school default-school
CN=bohlrebecca,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
################################################################################
                   displayName: Rebecca Bohl                            
                            sn: Bohl                                    
                     givenName: Rebecca                                 
      sophomorixFirstnameASCII: Rebecca                                 
        sophomorixSurnameASCII: Bohl                                    
    sophomorixFirstnameInitial: R.                                      
      sophomorixSurnameInitial: B.                                      
           sophomorixUserToken: ---                                     
           sophomorixBirthdate: 19.01.2004                              
                sophomorixUnid: ---                                     
          sophomorixAdminClass: q1                                      
      sophomorixExitAdminClass: ef                                      
          sophomorixSchoolname: default-school                          
           sophomorixAdminFile: students.csv                            
             sophomorixComment: created by sophomorix                   
       sophomorixFirstPassword: roMbnF                                  
            sophomorixExamMode: ---                                     
--------------------------------------------------------------------------------
                sophomorixRole: student                                 
              sophomorixStatus: E                                       
        sophomorixCreationDate: 20180404221135.0Z                       
      sophomorixTolerationDate: 19700101000000.0Z                       
    sophomorixDeactivationDate: 19700101000000.0Z                       
            userAccountControl: 66048                                   
--------------------------------------------------------------------------------
                          mail: bohlrebecca@linuxmuster.lan             
           sophomorixMailQuota: ---:---:                                
 sophomorixMailQuotaCalculated: 156                                     
--------------------------------------------------------------------------------
               sophomorixQuota: default-school:---:10010:10496245760:---:
               sophomorixQuota: linuxmuster-global:---:5005:5248122880:---:
sophomorixCloudQuotaCalculated: 10010 MB                                
--------------------------------------------------------------------------------
sophomorixWebuiPermissionsCalculated:
   sidebar:view:/view/dashboard: false
   sidebar:view:/view/lmn/landingpage: true
   sidebar:view:/view/ni/nextcloud: true
   sidebar:view:/view/ni/websession: true
------------- sophomorixCustom: ------------------------------------------------
---------- sophomorixIntrinsic: ------------------------------------------------
          sophomorixIntrinsic1: MIGRATION uidNumber: 13601              
          sophomorixIntrinsic2: students/q1/bohlrebecca                 
--------------------------------------------------------------------------------
memberOf: CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=intranet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=p_info_ef2_zn,OU=Projects,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=printing,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=q1,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=webfilter,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=wifi,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
--------------------------------------------------------------------------------
LOGFILES: 3 Entries

More info for users in AD with:
   sophomorix-user -iv -u bohlrebecca
   sophomorix-quota -iv -u bohlrebecca
   sophomorix-mail -iv -u bohlrebecca

Hallo Oliver,

der funktionierende hat sophomorix-status U und der bei dem es nicht geht E.
Das ist der Unterschied, den ich sehen.
Schau ich bei mir zwei Accouont an, dann hat der Lehrer E un dder
Schüler U … was immer das auch bedeutet.

Ich eskalier das mal.

LG

Holger

Hallo Holger und alle,

ich habe gemäß Holgers Entdeckung mal alle Schüler mit Problemen per sophomorix -iu untersucht und dabei gibt es leider sowohl den Status U als auch den Status E.
Es muss leider an etwas anderem liegen.

Kann jemand etwas mit der Gruppe LINUXMUSTER/s_default-school anfangen?
Denn allen Schülern mit Problemen fehlt genau diese (und einige andere) Gruppenzugehörigkeit.
Wenn ich dann per usermod -a -G s_default-school schüler diese Gruppe dem Schüler manuell hinzufüge, werden manchmal alle fehlenden Gruppen ergänzt und der Zugriff klappt ab dann reibungslos.

Leider funktioniert der Befehl nur manchmal; es gibt zwar nie eine Fehlermeldung, aber die fehlenden Gruppen werden nur manchmal ergänzt; manchmal passiert einfach nichts.

Das macht alles irgendwie keinen Sinn. Auch ein sophomorix-repair --all ändert nichts an dem Problem.

Am verrücktesten ist ja, dass mein neu angelegter Schüler dasselbe Problem hat.

Ich werde noch verrückt
Oliver

Hallo Oliver,
dein Problem bei der Vorgehensweise ist, dass du mit Linuxtools arbeitest um samba user zu bearbeiten, Das ist nicht so gedacht.

auch per su <user> auf Linuxseite auszuprobieren, ob ein Zugriff auf ein Verzeichnis unterhalb /srv/samba/school funktioniert mach keinen Sinn (Samba wird umgangen). Da den Zugriff samba und die ACL’s der Verzeichnisse regeln.

Die verschiedenen userstati sind hier erklärt: https://github.com/linuxmuster/sophomorix4/wiki/Workflows (Grafik bei Workflow of user status)
U und E sind beides benutzbare Accounts. U nach dem Anlegen, E wurde mal wieder aktiv gesetzt mit sophomorix-user -E

Ich würde so vorgehen:

1. Veränderte Mitgliedschaft in Gruppen mit usermod wieder rückgängig machen.
2. Mitgliedschaft in Gruppen im AD nochmal checken mit
   sophomorix-user -i -u
3. Falls Mitgliedschaften tatsächlich fehlen:
   mit sophomorix-group ergänzen (Das ändert das AD von Samba)
   (Das sollte aber nicht sein)

Testen ob der Schüler auf die Dateien zugreifen kann:
Am besten anmelden als Schüler per samba (windowsclient, linuxlient).

Oder mit dem Befehl smbclient (bisschen aufwendig).
Alternativ mit sophomorix-cacls --ls /srv/samba/…
Dann wird auf dem linux-Pfad ein smbclient Befehl aufgebut, mit dem du per smb Protokoll den Samba server um das Verzeichnislisting bittest (wie es auch ein Windows client macht).
Der benutzte smb Befehl wird angezeigt. Du kannst ihn kopieren und leicht verändert (anderer User, anderes passwort) nochmals ausführen

Ich hoffe das hilft erstmal.

LG, Rüdiger

Hallo Rüdiger,

„auch per su <user> auf Linuxseite auszuprobieren, ob ein Zugriff auf ein Verzeichnis unterhalb /srv/samba/school funktioniert mach keinen Sinn (Samba wird umgangen). 

Bei normaler Nutzung von Linuxmuster hast du natürlich Recht, aber wir erlauben den Schülern einen schnellen Zugriff von Zuhause aus mit einem speziellen Programm per sftp, da wir bereits die 5er in Informatik unterrichten und für die ist alles andere (zB nextcloud) zu kompliziert.

Daher nutzen die Schüler dann, wie ich beim Testen, direkt den Linuxzugriff auf das Verzeichnis. Das ist zwar so nicht vorgesehen, hat aber mit LM6 und nun auch mit LM7 gut geklappt.

Mein Problem ist, dass plötzlich bei einigen Schülern die Gruppe LINUXMUSTER/s_default-school fehlt su -l groups schüler, so dass der Pfad zu /srv/samba/schools/default-school für diese Schüler gesperrt ist.

Ich weiß leider nicht, warum diese Gruppe plötzlich bei einigen weg ist, da wir an dem Server meines Wissens nach nichts geändert haben; es läuft LM7 original mit ein paar Zusatzprogrammen, die aber bereits seit Schulbeginn laufen.

Gerade stelle ich fest, dass mein Beispielschüler bohlrebecca die Gruppe plötzlich korrekt hat und der Zugriff funktioniert. Aber viele andere Schüler immer noch nicht. Entweder wechselt das Verhalten lustig vor sich hin, oder mein usermod -a -G … hat mit einem Tag Verzögerung funktioniert. Das kann doch nicht sein ??

"Funktionierender Zugriff: Schüler hat Gruppe s_default-school in groups und im AD"
root@server:~# sophomorix-user -i -u bohlrebecca | grep -i default
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini    ####
#### OK: default-school share exists                                      ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf           ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf       ####
User 1/1 in AD: bohlrebecca in school default-school
CN=bohlrebecca,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
          sophomorixSchoolname: default-school                          
               sophomorixQuota: default-school:---:10010:10496245760:---:
memberOf: CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=intranet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=p_info_ef2_zn,OU=Projects,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=printing,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=q1,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=webfilter,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=wifi,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan

"Defekter Zugang: Gruppe s_default-school fehlt unter Linux, im AD ist er aber korrekt angegeben"
root@server:~# sophomorix-user -i -u wellenpia | grep -i default
#### Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini    ####
#### OK: default-school share exists                                      ####
#### OK: /etc/linuxmuster/sophomorix/default-school/school.conf           ####
#### Reading /etc/linuxmuster/sophomorix/default-school/school.conf       ####
User 1/1 in AD: wellenpia in school default-school
CN=wellenpia,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
          sophomorixSchoolname: default-school                          
               sophomorixQuota: default-school:---:10010:10496245760:---:
memberOf: CN=internet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=intranet,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=printing,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=q1,OU=q1,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=webfilter,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
memberOf: CN=wifi,OU=Management,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan
root@server:~# 

Liebe Grüße und Danke für eure Ideen.
Oliver