Hallo,
ich bin zum obigen Thema die Beiträge der letzten Jahre durchgegangen und ich möchte sichergehen, dass ich alles (falls das überhaupt geht) richtig verstanden habe. (Es geht mir nicht um Bewertungen, die wurden in anderen Threads schon aufgeführt, sondern um eine Zusammenfassung des Themas)
- LMN7 verwendet samba4 als „Samba Active Directory (AD) domain controller (DC)“ und damit sind auf dem Server keine POSIX ACLs möglich, sondern nur WindowsACLs.
- Linux-Clients sind generell nicht in der Lage über ihre Samba-Anbindung Dateirechte auf dem Server zu ändern, da Linux-Clients POSIX ACLs verwenden.
- Auf einem Share ist es nicht möglich, die Rechte so einzustellen, dass nur der Erzeuger einer Datei volle Rechte darauf hat, die anderen Benutzer nur das Recht zum Lesen haben. Also wie das tmp-Verzeichnis bei Linux. Es geht höchstens dieshier.
- Wenn ich auf dem Dateisystem des Servers die Rechte direkt ändere, dann ist Reihenfolge der Wirkung:
Unix-Rechte (rwxrwxrwx) geht vor POSIX Acl (setfacl) geht vor Windows Acl (smbcacls)
D.h. 3. würde nicht stimmen, da ich das Sticky Bit im Serverdateisystem auf den Ordner eines Shares setzen könnte und es so die tmp-Verzeichnis-Rechte erhalten würde und die anderen Rechte sich unterordnen würden.
Viele Grüße, Helge
Hallo Helge,
von meiner kurzen bisherigen Beschäftigung damit kann ich nur sagen, dass das setzen von Unix-Rechten die seltsamsten Auswirkungen haben kann (wobei ich inzwischen denke, dass die einfach nur eine „unsaubere“ Situation erzeugt haben):
- in einigen Fällen waren danach die Ordner global für alle beschreibbar. Das wäre nachvollziehbar, ist aber natürlich… unschön
- in anderen Fällen war es komplizierter. Erst einmal „scheint“ alles in Ordnung, aber beim Versuch, über Windows die Rechte zu ändern, stürzt der Explorer ohne Fehlermeldung ab.
Neu ist mir der Unterschied zwischen POSIX- und Windows-ACLs. Dazu habe ich noch nichts gelesen (und ich meine, in meinen Fragen dazu wurde damals auch nicht auf diesen Unterschied hingewiesen - kann ich mich aber auch irren).
Wir werden uns sicherlich ein Set an Befehlen basteln, um die Rechte nach Veränderungen auf dem Server gleich wiederherzustellen (z.B. Programme-Ordner für alle lesbar, nur für Admins schreibbar). Dazu ein wenig mehr Doku wäre dann toll (und bastel ich gerne mit dran).
Insgesamt verkomplizieren diese Veränderungen einige Prozesse bei uns. Aber Dateiänderungen auf dem Server scheinen einerseits eine recht exotische Anforderung zu sein während die Annahme von Windows-Clients wohl eher die Regel ist. So richtig entspannt bin ich dabei nicht…
Viele Grüße
Thomas