Arch Linux

Samba-Freigabe Zugriff nicht möglich

rockweapon

Hallo zusammen,

habe das thunar shares plugin aus dem AUR installiert und habe nun auch den Tab Freigabe.
Habe einfach standardmäßig "Diesen Ordner freigeben" angkeklickt.

Bin nach dem Link https://goodies.xfce.org/projects/thunar-plugins/thunar-shares-plugin
und nach https://de.manjaro.org/index.php?topic=1966.0 gegangen

Meine /etc/samba/smb.conf sieht so aus:

[global]
workgroup = WORKGROUP
usershare path = /var/lib/samba/usershares
usershare max shares = 100
usershare allow guests = yes
usershare owner only = yes

Wenn ich jetzt auf die Freigabe zugreifen möchte, dann kommt ein Dialog hoch wo Passwort und sontiges abgefragt wird.
Egal was ich eintippe oder nicht eintippe und fortfahre, kann auf die Freigabe nicht zugreifen bzw. komme nicht rein.

systemctl status nmbd meldet folgendes:

● nmbd.service - Samba NetBIOS name server
   Loaded: loaded (/usr/lib/systemd/system/nmbd.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2018-01-21 18:15:41 CET; 11min ago
 Main PID: 399 (nmbd)
    Tasks: 1 (limit: 4915)
   CGroup: /system.slice/nmbd.service
           └─399 /usr/bin/nmbd -D

Jan 21 18:16:00 rockhome nmbd[399]: [2018/01/21 18:16:00.982126,  0] ../source3/nmbd/nmbd_mynames.c:36(my_name_register_failed)
Jan 21 18:16:00 rockhome nmbd[399]:   my_name_register_failed: Failed to register my name ROCKHOME<20> on subnet 192.168.2.107.
Jan 21 18:16:00 rockhome nmbd[399]: [2018/01/21 18:16:00.982281,  0] ../source3/nmbd/nmbd_namelistdb.c:320(standard_fail_register)
Jan 21 18:16:00 rockhome nmbd[399]:   standard_fail_register: Failed to register/refresh name ROCKHOME<20> on subnet 192.168.2.107
Jan 21 18:16:19 rockhome nmbd[399]: [2018/01/21 18:16:19.386065,  0] ../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
Jan 21 18:16:19 rockhome nmbd[399]:   *****
Jan 21 18:16:19 rockhome nmbd[399]:   
Jan 21 18:16:19 rockhome nmbd[399]:   Samba name server ROCKHOME is now a local master browser for workgroup WORKGROUP on subnet 192.16
Jan 21 18:16:19 rockhome nmbd[399]:   
Jan 21 18:16:19 rockhome nmbd[399]:   *****

systemctl status smbd meldet folgendes:

● smbd.service - Samba SMB/CIFS server
   Loaded: loaded (/usr/lib/systemd/system/smbd.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2018-01-21 18:15:41 CET; 11min ago
 Main PID: 413 (smbd)
    Tasks: 6 (limit: 4915)
   CGroup: /system.slice/smbd.service
           ├─ 413 /usr/bin/smbd -D
           ├─ 415 /usr/bin/smbd -D
           ├─ 416 /usr/bin/smbd -D
           ├─ 420 /usr/bin/smbd -D
           ├─1174 /usr/bin/smbd -D
           └─1389 /usr/bin/smbd -D

Jan 21 18:18:55 rockhome smbd[1191]: [2018/01/21 18:18:55.922418,  0] ../source3/param/loadparm.c:3350(process_usershare_file)
Jan 21 18:18:55 rockhome smbd[1191]:   process_usershare_file: stat of /var/lib/samba/usershares/android failed. Keine Berechtigung
Jan 21 18:19:23 rockhome smbd[1208]: [2018/01/21 18:19:23.624619,  0] ../source3/param/loadparm.c:3350(process_usershare_file)
Jan 21 18:19:23 rockhome smbd[1208]:   process_usershare_file: stat of /var/lib/samba/usershares/android failed. Keine Berechtigung
Jan 21 18:20:16 rockhome smbd[1235]: [2018/01/21 18:20:16.693928,  0] ../source3/param/loadparm.c:3350(process_usershare_file)
Jan 21 18:20:16 rockhome smbd[1235]:   process_usershare_file: stat of /var/lib/samba/usershares/android failed. Keine Berechtigung
Jan 21 18:21:20 rockhome smbd[1319]: [2018/01/21 18:21:20.213759,  0] ../source3/param/loadparm.c:3350(process_usershare_file)
Jan 21 18:21:20 rockhome smbd[1319]:   process_usershare_file: stat of /var/lib/samba/usershares/android failed. Keine Berechtigung
Jan 21 18:24:54 rockhome smbd[1405]: [2018/01/21 18:24:54.839454,  0] ../source3/param/loadparm.c:3350(process_usershare_file)
Jan 21 18:24:54 rockhome smbd[1405]:   process_usershare_file: stat of /var/lib/samba/usershares/android failed. Keine Berechtigung

Ausgabe von android in /var/lib/samba/usershares

#VERSION 2
path=/home/rockweapon/Android
comment=
usershare_acl=S-1-1-0:R,S-1-22-1-1000:F
guest_ok=y
sharename=Android

Ein paar Daten zu meinem System:

Kernel: x86_64 Linux 4.14.13-1-ARCH
DE: XFCE4
WM: Xfwm4
CPU: Intel Core i5-2450M @ 4x 3.1GHz
GPU1: Mesa DRI Intel(R) Sandybridge Mobile
GPU2: Nvidia Geforce GT 630M
Laptopmodell: Acer Travelmate 5760G

EDIT: Könnte es an der Zeile in der Ausgabe von systemctl status nmbd liegen?

Samba name server ROCKHOME is now a local master browser for workgroup WORKGROUP on subnet 192.16

Bin im Subnetz 192.168.2.0/24

EDIT2: Liegt auf jeden Fall schonmal nicht am thunar shares plugin würd ich sagen, denn ich habe in der smb.conf eine 2. normale Freigabe eingestellt und dort kann ich ebenso nicht vom eigenen Laptop aus zugreifen:

2. Freigabe in der smb.conf:

[Bilder]
comment = Bilder
path = /home/rockweapon/Bilder/
valid users = @users
force group = users
create mask = 0660
directory mask = 0771
read only = no

EDIT3: Vom Android-Phone aus komm ich auch nicht drauf. Muss Benutzername und Kennwort angeben, aber nach abschicken frägt er erneut nach Benutzername und Kennwort.

rockweapon

Funktioniert nun.
Habe vergessen einen Samba-User anzulegen.

rockweapon

Ok, zwar funktioniert der Zugriff mit meinem bestehenden user: rockweapon, aber wenn ich einen user mit

 useradd -m hans

anlege und dann mit

 smbpasswd -a hans

ein Passwort vergebe und versuche auf die Freigaben zuzugreifen, funktioniert dies nicht. Ich tippe Benutzername und Passwort ein und nach absenden erscheint die gleiche Abfrage nochmal. Wenn ich einen Ordner direkt über smb.conf für die Gruppe users freigebe und versuche mit hans darauf zuzugreifen, erhalte ich die Meldung nach abschicken meiner Benutzerdaten: Konnte auf den Order xyz nicht zugreifen. Datei existiert bereits.

Habe den Benutzer hans auch in die Gruppe users und sambashare aufgenommen.

Noch wer vielleicht eine Idee?

tuxnix

Die beiden Befehle machen für mich in dieser Kombination keinen Sinn.

Das useradd gehört zu arch das smbpasswd zu samba.

rockweapon

tuxnix schriebDie beiden Befehle machen für mich in dieser Kombination keinen Sinn.

Das useradd gehört zu arch das smbpasswd zu samba.

Um smbpasswd mit einem user ausführen zu können, brauche ich vorher einen bestehenden Benutzer. So bisher mein Verständnis, kann natürlich auch falsch liegen.

Wenn ich ohne einen bestehenden Benutzer smbpasswd -a ulrich abschicke, dann die Passwörter eingebe, erscheint die Meldung:
Failed to add entry for user ulrich

Zumindest steht das hier in der man, deswegen auch die Meldung: "Failed to add entry for user ulrich"

-a

This option specifies that the username following should be added to the local smbpasswd file, with the new password typed (type <Enter> for the old password). This option is ignored if the username following already exists in the smbpasswd file and it is treated like a regular change password command. Note that the default passdb backends require the user to already exist in the system password file (usually /etc/passwd), else the request to add the user will fail.

    This option is only available when running smbpasswd as root.

rockweapon

Ich weiß echt nicht woran es liegen könnte.
Hatte mal samba Freigaben aufn raspberry Pi und hatte dort nicht so große Schwierigkeiten.

Hier mal meine smb.conf:

# This is the main Samba configuration file. You should read the
# smb.conf(5) manual page in order to understand the options listed
# here. Samba has a huge number of configurable options (perhaps too
# many!) most of which are not shown in this example
#
# For a step to step guide on installing, configuring and using samba, 
# read the Samba-HOWTO-Collection. This may be obtained from:
#  http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
#
# Many working examples of smb.conf files can be found in the 
# Samba-Guide which is generated daily and can be downloaded from: 
#  http://www.samba.org/samba/docs/Samba-Guide.pdf
#
# Any line which starts with a ; (semi-colon) or a # (hash) 
# is a comment and is ignored. In this example we will use a #
# for commentry and a ; for parts of the config file that you
# may wish to enable
#
# NOTE: Whenever you modify this file you should run the command "testparm"
# to check that you have not made any basic syntactic errors. 
#
#======================= Global Settings =====================================
[global]
workgroup = WORKGROUP
usershare path = /var/lib/samba/usershares
usershare max shares = 100
usershare allow guests = yes
usershare owner only = no

# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH

# server string is the equivalent of the NT Description field
   server string = Samba Server

# Server role. Defines in which mode Samba will operate. Possible
# values are "standalone server", "member server", "classic primary
# domain controller", "classic backup domain controller", "active
# directory domain controller".
#
# Most people will want "standalone server" or "member server".
# Running as "active directory domain controller" will require first
# running "samba-tool domain provision" to wipe databases and create a
# new domain.
   server role = standalone server

# This option is important for security. It allows you to restrict
# connections to machines which are on your local network. The
# following example restricts access to two C class networks and
# the "loopback" interface. For more examples of the syntax see
# the smb.conf man page
;   hosts allow = 192.168.1. 192.168.2. 127.

# Uncomment this if you want a guest account, you must add this to /etc/passwd
# otherwise the user "nobody" is used
;  guest account = pcguest

# this tells Samba to use a separate log file for each machine
# that connects
   log file = /usr/local/samba/var/log.%m

# Put a capping on the size of the log files (in Kb).
   max log size = 50

# Specifies the Kerberos or Active Directory realm the host is part of
;   realm = MY_REALM

# Backend to store user information in. New installations should 
# use either tdbsam or ldapsam. smbpasswd is available for backwards 
# compatibility. tdbsam requires no further configuration.
;   passdb backend = tdbsam

# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting.
# Note: Consider carefully the location in the configuration file of
#       this line.  The included file is read at that point.
;   include = /usr/local/samba/lib/smb.conf.%m

# Configure Samba to use multiple interfaces
# If you have multiple network interfaces then you must list them
# here. See the man page for details.
   interfaces = 192.168.0.0/16 172.16.0.0/12 10.0.0.0/8 

# Where to store roving profiles (only for Win95 and WinNT)
#        %L substitutes for this servers netbios name, %U is username
#        You must uncomment the [Profiles] share below
;   logon path = \\%L\Profiles\%U

# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable it's WINS Server
;   wins support = yes

# WINS Server - Tells the NMBD components of Samba to be a WINS Client
#	Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
;   wins server = w.x.y.z

# WINS Proxy - Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one	WINS Server on the network. The default is NO.
;   wins proxy = yes

# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The default is NO.
   dns proxy = no 

# These scripts are used on a domain controller or stand-alone 
# machine to add or delete corresponding unix accounts
;  add user script = /usr/sbin/useradd %u
;  add group script = /usr/sbin/groupadd %g
;  add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
;  delete user script = /usr/sbin/userdel %u
;  delete user from group script = /usr/sbin/deluser %u %g
;  delete group script = /usr/sbin/groupdel %g


#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   browseable = no
   writable = yes

# Un-comment the following and create the netlogon directory for Domain Logons
; [netlogon]
;   comment = Network Logon Service
;   path = /usr/local/samba/lib/netlogon
;   guest ok = yes
;   writable = no
;   share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
;[Profiles]
;    path = /usr/local/samba/profiles
;    browseable = no
;    guest ok = yes


# NOTE: If you have a BSD-style print system there is no need to 
# specifically define each individual printer
[printers]
   comment = All Printers
   path = /usr/spool/samba
   browseable = no
# Set public = yes to allow user 'guest account' to print
   guest ok = no
   writable = no
   printable = yes

# This one is useful for people to share files
;[tmp]
;   comment = Temporary file space
;   path = /tmp
;   read only = no
;   public = yes

# A publicly accessible directory, but read only, except for people in
# the "staff" group
;[public]
;   comment = Public Stuff
;   path = /home/samba
;   public = yes
;   writable = no
;   printable = no
;   write list = @staff

# Other examples. 
#
# A private printer, usable only by fred. Spool data will be placed in fred's
# home directory. Note that fred must have write access to the spool directory,
# wherever it is.
;[fredsprn]
;   comment = Fred's Printer
;   valid users = fred
;   path = /homes/fred
;   printer = freds_printer
;   public = no
;   writable = no
;   printable = yes

# A private directory, usable only by fred. Note that fred requires write
# access to the directory.
;[fredsdir]
;   comment = Fred's Service
;   path = /usr/somewhere/private
;   valid users = fred
;   public = no
;   writable = yes
;   printable = no

# a service which has a different directory for each machine that connects
# this allows you to tailor configurations to incoming machines. You could
# also use the %U option to tailor it by user name.
# The %m gets replaced with the machine name that is connecting.
;[pchome]
;  comment = PC Directories
;  path = /usr/pc/%m
;  public = no
;  writable = yes

# A publicly accessible directory, read/write to all users. Note that all files
# created in the directory by users will be owned by the default user, so
# any user with access can delete any other user's files. Obviously this
# directory must be writable by the default user. Another user could of course
# be specified, in which case all files would be owned by that user instead.
;[public]
;   path = /usr/somewhere/else/public
;   public = yes
;   only guest = yes
;   writable = yes
;   printable = no

# The following two entries demonstrate how to share a directory so that two
# users can place files there that will be owned by the specific users. In this
# setup, the directory should be writable by both users and should have the
# sticky bit set on it to prevent abuse. Obviously this could be extended to
# as many users as required.
;[myshare]
;   comment = Mary's and Fred's stuff
;   path = /usr/somewhere/shared
;   valid users = mary fred
;   public = no
;   writable = yes
;   printable = no
;   create mask = 0765

[Bilder]
comment = Bilder
path = /home/rockweapon/Bilder/
valid users = @users
force group = users
create mask = 0660
directory mask = 0771
read only = no

Wenn ich auf Bilder zugreife erschient genau diese Meldung: Einhängen der Windows Freigabe fehlgeschlagen: Die Datei existiert bereits
Auf diese Freigabe kann ich mit keinem User zugreifen.

Werner

Die Linux-Rechte deines Home-Verzeichnisses sind sinnvollerweise so gesetzt, dass ausschließlich du selbst mit deinem Linux-User-Account 'rockweapon' Zugriff darauf hast. Der User 'hans' scheitert nicht an einer Sambafreigabe, sondern an den fehlenden Zugriffsrechten auf dein Home-Verzeichnis.

Das thunar-shares-plugin ermöglicht dir, innerhalb deines Home-Verzeichnisses z.B. beim Ordner 'Öffentlich' einen Gastzugang zu erlauben und zu entscheiden, ob die Gäste nur Leserechte oder auch Schreibrechte haben. Mit dem Befehl 'net usershare info' kannst du sehen, was sich über die Thunar-Freigaben konkret verändert.

Um Verzeichnise mit Samba differenziert zu verwalten, sollten diese außerhalb deines Home-Verzeichnisses liegen. Ein Beispiel dazu ist in der smb.conf.default beschrieben (Mary's and Fred's stuff).
Du kannst das aber auch in /home umsetzen, indem du einen User mit Home-Verzeichnis und ohne Login-Möglichkeit anlegst (beispielsweise einen User 'share'). Dessen Home-Verzeichnis könntest du mit ~~777~~ 770 öffnen und dort in unterschiedlichen Verzeichnissen differenzierte Linux- und Samba-Berechtigungen realisieren, ohne dein eigenes Home dabei zu kompromittieren.

Edit: ~~777~~ [1]
🙂

rockweapon

Werner schriebDie Linux-Rechte deines Home-Verzeichnisses sind sinnvollerweise so gesetzt, dass ausschließlich du selbst mit deinem Linux-User-Account 'rockweapon' Zugriff darauf hast. Der User 'hans' scheitert nicht an einer Sambafreigabe, sondern an den fehlenden Zugriffsrechten auf dein Home-Verzeichnis.

Das thunar-shares-plugin ermöglicht dir, innerhalb deines Home-Verzeichnisses z.B. beim Ordner 'Öffentlich' einen Gastzugang zu erlauben und zu entscheiden, ob die Gäste nur Leserechte oder auch Schreibrechte haben. Mit dem Befehl 'net usershare info' kannst du sehen, was sich über die Thunar-Freigaben konkret verändert.

Um Verzeichnise mit Samba differenziert zu verwalten, sollten diese außerhalb deines Home-Verzeichnisses liegen. Ein Beispiel dazu ist in der smb.conf.default beschrieben (Mary's and Fred's stuff).
Du kannst das aber auch in /home umsetzen, indem du einen User mit Home-Verzeichnis und ohne Login-Möglichkeit anlegst (beispielsweise einen User 'share'). Dessen Home-Verzeichnis könntest du mit 777 öffnen und dort in unterschiedlichen Verzeichnissen differenzierte Linux- und Samba-Berechtigungen realisieren, ohne dein eigenes Home dabei zu kompromittieren.

Hallo Werner,

dass war ja wieder mal nach dem KISS-Prinzip, einfacher hätte es nicht sein können.
Ja, mein Home-Verzeichnis unter /home/rockweapon hat nur rwx als Benutzer-Berechtigungen, also sind darauffolgende Berechtigungen, sei es ein 777 auf einen Ordner, unbrauchbar.
Habe folgendes ausprobiert: Einen Ordner test unter / und darin einen Symlink zu /home/rockweapon/Android. Egal ob ich test und den Symlink Android freigebe, wenn ich mit Benutzer hans oder rockweapon den Ordner betrete ist dieser leer. Also geht dies über einen symlink anscheinend nicht.

Die Lösung über einen extra user unter /home ist nicht schlecht, da es dann auf meiner /home-Partition liegt und ich somit den Speicherplatz von meiner Systempartition nicht beanspruchen muss.

Jetzt zu meiner Frage: Wäre es denn sinnvoll, wenn ich /home/rockweapon einfach noch als Gruppenrechte rwx gebe? Ich mein, ich habe keine Lust meine Ordner von einem user zum anderen user in /home zu kopieren. Zu viel Zeitaufwand. Wenn ich z.B Filme, Musik, Dokumente unter /home/rockweapon/Dokumente liegen habe, dann möchte ich auch, dass ich dort einfach eine Freigabe einrichte, mit der ich dann auch mit anderen usern drauf zugreifen kann bzw. mehrere Leute. Zweckmäßig ist dies wahrscheinlich nicht, da es hierbei nur ums Prinzip geht und wenn ich mein Passwort nicht an andere rausgeben will, kann man ja dies schnell über smbpasswd ändern. Mein Windows-Rechner hat den gleichen Benutzername und Passwort wie das smbpasswort, somit ist hierbei nichtmal eine Authentifizierung nötig.

Ich versteh noch in dem Kontekt den Punkt Gastzugang erlauben unter thunar nicht.

Danke bis hierhin schonmal

Werner

Ich versteh noch in dem Kontext den Punkt Gastzugang erlauben unter thunar nicht.

Der Gastzugang ermöglicht einen Zugriff auf ein Verzeichnis innerhalb deines Home-Verzeichnisses ohne Autorisierung – eine Autorisierung ist ja nur mit deinen Accountdaten möglich.

Wäre es denn sinnvoll, wenn ich /home/rockweapon einfach noch als Gruppenrechte rwx gebe?

Das ist zwar möglich, aber aus meiner Sicht nicht sinnvoll. Wie ich schon geschrieben hatte, halte ich es für sinnvoll, Samba-Freigaben außerhalb des eigenen Home-Verzeichnisses zu realisieren.

Ich mein, ich habe keine Lust meine Ordner von einem user zum anderen user in /home zu kopieren. Zu viel Zeitaufwand.

Nun habe ich auch keine Lust mehr, dich weiter zu beraten. Zu viel Zeitaufwnd.

rockweapon

Vielen Dank für die Ausführungen.
Werde dann wohl oder übel meine Daten, die ich für mehrere Benutzer freigeben möchte, über einen extra user in /home ablegen.

Werner schrieb Nun habe ich auch keine Lust mehr, dich weiter zu beraten. Zu viel Zeitaufwnd.

Mit "keine Lust ... zu viel Zeitaufwand" habe ich gemeint, dass wenn ich Daten von /home/rockweapon bereitstellen möchte, jedes mal aufs neue diese Daten (bei Änderungen) entweder auf /usr oder in ein ein anderes /home-Verzeichnis mit 777-Rechten kopieren muss. Deswegen auch meine Frage mit der rwx-Gruppenberechtigung auf rockweapon. Da dies aber nicht gängig und sicher ist, nehme ich die Lösung auf /usr oder extra user in /home.

Bin für jeden Lösungsvorschlag offen und dankbar und keineswegs "zu faul" etwas auszuprobieren.

Schade, wenn du mich nicht weiter beraten möchtest, hat mir bisher sehr geholfen.

Vielen Dank. Thema ist für mich gelöst.

Werner

Mit "keine Lust ... zu viel Zeitaufwand" habe ich gemeint, dass wenn ich Daten von /home/rockweapon bereitstellen möchte, jedes mal aufs neue diese Daten (bei Änderungen) entweder auf /usr oder in ein ein anderes /home-Verzeichnis mit 777-Rechten kopieren muss.

Ach so meintest du das. Sorry, ich hatte verstanden, dass es dir zuviel Aufwand wäre, freizugebende Dateien in ein Freigabeverzeichnis zu kopieren/verschieben.
Du muss das ja nicht jedes mal machen. Wenn du Dateien in ein Freigabeverzeichnis verschiebst, sind sie ja nicht verloren, sondern nur freigegeben. Die Freigabeverzeichnisse müssen natürlich bei Backups mit einbezogen werden.

Wenn in einem Freigabeverzeichnis nur Leserechte bestehen, reicht m. E. die einmalige Existenz einer Datei. Wenn auch Schreibrechte bestehen, behalte ich grundsätzlich ein Backup meines letzten Bearbeitungsstatus zurück, z.B. ~/Dokus/Doku-2018-KW-04.txt-20180126_1535.bak. Dateidoubletten ohne Versionierung sollte man jedenfalls vermeiden.
Einen »Pseudo-User« 'share' würde ich auf 770 setzen*, ebenso die darunter liegenden Verzeichnisse. Das könnte z.B. so aussehen:

[homes]
  browsable = no
  writable = yes

[Dienstplan]
  valid users = @dienstplan
  path = /home/share/Dienstplan
  writeable = yes
  force group = +dienstplan
  create mask = 0660
  directory mask = 0770

[Dokus]
  valid users = @dokus   
  path = /home/share/Dokus   
  writeable = yes
  force group = +dokus   
  create mask = 0660
  directory mask = 0770

[Projekte]
  valid users = @projekte
  path = /home/share/Projekte
  writeable = yes
  force group = +projekte
  create mask = 0660
  directory mask = 0770

* Ich hatte weiter oben fälschlicherweise 777 geschrieben

rockweapon

Danke Werner!

Wenn der Benutzer share auf alle 3 Freigaben zugreifen möchte, muss er in allen 3 Gruppen sein, so wie ich das hier sehe.

Option: force group = +dokus
habe ich so aus der 'man' entnehmen können, dass hier nur derjenige User, der zuvor schon in der Gruppe dokus ist, auch Verzeichnisse mit der Gruppe dokus erstellen kann.
Option: valid users = @dokus
bedeutet, dass alle user Zugriff auf das Verzeichnis haben, die in der Gruppe dokus sind.

Ich habe ziemlich lange rumexperimentiert und dabei ist das rausgekommen:

1. Variante:

Da ich ja keine Gruppenrechte für rockweapon vergeben wollte, habe ich eine ACL für einen extra User erstellt also:

setfacl -m user:wolfgang:--x /home/rockweapon

Dann einen Testordner unter /home/rockweapon erstellt und

setfacl -m user:wolfgang:rwx /home/rockweapon/Testordner

Testordner dann mit Thunar-shares-plugin oder direkt über smb.conf freigegeben.

Funktioniert wie folgt:
Kann in /home/rockweapon mit wolfgang rein, aber nichts auflisten und nichts schreiben.
Mit anderen usern komme ich nicht rein.
Sehe die Freigabe unter Netzwerk in Thunar und komme mit Wolfgang rein und kann alles machen wie gewünscht.

2. Variante:
Mit den normalen Rechten für andere einfach o+x auf /home/rockweapon gesetzt.
Kann in den Ordner nicht wechseln.
Gebe ich hier einen Ordner frei und ticke an "Gastzugang' dann komme ich ohne Passwort und Username in den gewünschten Ordner rein.
Windows erstellt automatisch Dateien mit user nobody und gruppe nobody.
Leider funktioniert "force group = users" nicht. Habe auch schon nobody nur die Gruppe users zugewiesen und dann force user = nobody, klappt aber auch nicht, da ich dann keinen Zugriff mehr auf die Freigabe habe.
Habe nun also die Gruppe nobody rockweapon zusätzlich zugewiesen und alle Dateien/Ordner die in der Freigabe erstellt werden, sind dann auch je nach Gruppenberechtigung modifizierbar.

alternativ: force user = rockweapon
damit läuft dann sobald ich auf die Freigabe zugreife alles unter den Rechten von rockweapon.

EDIT: Möchte anmerken, dass das völlig bescheuert ist was ich da mache (obwohl es seinen Zweck erfüllt), also ist deine Methode tausend mal besser.

drcux

rockweapon schriebauf /usr

Bitte nie nimmer nicht /usr dafür nutzen, usr steht nicht für User!

/usr = unix system resources # keine Daten von irgendwelchen Usern....

Wenn du nur ne Home-Partition hast, bietet sich zB /home/share oder /home/samba an, ansonsten gehören solche Sachen nach /srv.

Werner

@drcux
Ich glaube, das kam durch meinen Verweis auf „Mary's and Fred's stuff“ zustande. Die Default-smb.conf [1] empfiehlt '/usr/somewhere/shared' in ihren Beispielen.

Werner

rockweapon schrieb 1. Variante:
...
2. Variante:

Meine Variante ist:

useradd -m -s /sbin/nologin share
chmod 770 /home/share
chgrp users share
gpasswd -a share users
smbpasswd -a share

Das »Pseudo-Home-Verzeichnis« ist im Besitz von 'share" und hat die Gruppe 'users'. Die Freigabeverzeichnisse Dienstplan, Dokus und Projekte haben ebenfalls als Besitzer 'share' und die Berechtigung 770. Sie bekommen jedoch ihre eigene Gruppe (dienstplan, dokus, projekte). Ich selbst bin in allen drei Gruppen Mitglied und habe so über Samba auf alle Freigabeverzeichnisse Zugriff.

Um an Samba vorbei auf Dateisystemebene auf die drei Freigabeverzeichnisse zugreifen zu können, könnte ich mich auch selbst als Besitzer eintragen. Das will ich aber nicht, weil von mir erstellte Dateien dann 644 statt 660 und die Gruppe 'users' statt 'dokus' hätten. Die Samba-Maskierungen sorgen dafür, das solche Fehler nicht passieren.

Falls ich wieder alleiniger Besitzer einer Datei sein möchte, hole ich sie aus dem Freigabeverzeichnis raus in mein Home-Verzeichnis; sie hat damit wieder 644 und 'users' als Gruppe. Lege ich sie nach einer Bearbeitung via Samba zurück in‘s Freigabeverzeichnis, ist es automatisch wieder '660' und 'dokus'.

Man kann das gewiss auch ganz anders machen, aber ich finde es so recht einfach und praktisch.

rockweapon

Danke euch, bin vollends zufrieden 🙂