---

Hey gruppe.

Vi har på job en filserver der via Sam,ba deler en masse drev der bliver
brugt på tværs af hele virksomheden til deling af div. dokumenter og
informationer mm.

Vi har et drev som vi kalder ms ( Men det er et udviklingsdrev for den
enkelte ansatte og er dermed privat). Strukturen er bygget således op:

/shared/ms:
   Brugernavn (bibliotek)

Dette brugernavn er biblioteket for den enkelte ansatte hvor der kan
gemmes personlig udvikling kurser osv. Der er det KUN den enkelte
ansatte der skal have adgang til læse/skrive/exekvere - Dette er jo nemt
nok - nemlig at force 0700 på biblioteket. Og derefter lige lave en
chmod -R 700 /shared/ms/*

Men selve lederne for de enkelte ansatte skal have lov til at kunne læse
i dette - derfor er der oprettet en gruppe msgruppe - som skal have lov
til at læse i disse mapper også - men KUN den gruppe - derfor har jeg
lavet følgende:
groupadd msgruppe
chgrp -R msgruppe /shared/ms/*
chmod -R 770 /shared/ms/*
Så nu ser det hele således ud


drwxrwx--- 2 u1 msgruppe 4.0K apr 11 2007 u1
drwxrwx--- 3 u2     msgruppe 4.0K okt 29 2007 u2
drwxrwx--- 3 u3 msgruppe 4.0K okt 17 2007 u3

Så nu kommer mit problem.
Hvad jeg gør - så enten kan man kun læse sit eget bibliotek og dermed
virker msgruppe ikke ( har ikke rettigheder til at kigge i de filer)
ellers er det åbent for alle personer - og syntes jeg har prøvet det
meste i de 2 bøger omkring samba jeg sidder med.
Vi kører ikke domæne eller andet end arbejdsgruppe - men derfor burde
det vel nok kunne lade sig gøre alligevel.

[ms]
   path = /shared/ms
#   only user = yes
   force group = msgruppe
   force create mode = 770
   valid users = %S
   write list = @msgruppe
   create mode = 770
   directory mode = 770
#   force directory mode = 770

Her er lidt af de enkelte ting jeg har prøvet inkl. admin users, men jeg
kan på ingen måde få det til at fungere således at gruppen får adgang
til at kunne se i de mapper - uden alle andre brugere også kan.

Min Global ser således ud:
[global]
   log file = /var/log/samba/%m.log
   load printers = yes
   null passwords = yes
   encrypt passwords = yes
   show add printer wizard = no
   public = yes
   writeable = yes
   printing = cups
   server string = FILESERVER
   dos charset = 850
   workgroup = MYGROUP
   os level = 255
   printcap name = cups
   security = user
   unix charset = ISO8859-1
   max log size = 10000
   disable spooles = yes

Har den null passwords så meget at sige - det er den tidligere sysadmin
der ikke har sat passwords til - så brugerne bare kunne logge ind som
det passede dem. Nu er firmaet vokset og der skal noget mere kontrol
over - men kan ikke lige forstå at det her ikke vil fungere?

Har I et bud på dette?

---

Per Jørgensen wrote:
> Hey gruppe.
>
> Vi har på job en filserver der via Sam,ba deler en masse drev der bliver
> brugt på tværs af hele virksomheden til deling af div. dokumenter og
> informationer mm.
>
> Vi har et drev som vi kalder ms ( Men det er et udviklingsdrev for den
> enkelte ansatte og er dermed privat). Strukturen er bygget således op:
>
> /shared/ms:
> Brugernavn (bibliotek)
>
> Dette brugernavn er biblioteket for den enkelte ansatte hvor der kan
> gemmes personlig udvikling kurser osv. Der er det KUN den enkelte
> ansatte der skal have adgang til læse/skrive/exekvere - Dette er jo nemt
> nok - nemlig at force 0700 på biblioteket. Og derefter lige lave en
> chmod -R 700 /shared/ms/*
>
> Men selve lederne for de enkelte ansatte skal have lov til at kunne læse
> i dette - derfor er der oprettet en gruppe msgruppe - som skal have lov
> til at læse i disse mapper også - men KUN den gruppe - derfor har jeg
> lavet følgende:
> groupadd msgruppe
> chgrp -R msgruppe /shared/ms/*
> chmod -R 770 /shared/ms/*
> Så nu ser det hele således ud
>
>
> drwxrwx--- 2 u1 msgruppe 4.0K apr 11 2007 u1
> drwxrwx--- 3 u2 msgruppe 4.0K okt 29 2007 u2
> drwxrwx--- 3 u3 msgruppe 4.0K okt 17 2007 u3
>
> Så nu kommer mit problem.
> Hvad jeg gør - så enten kan man kun læse sit eget bibliotek og dermed
> virker msgruppe ikke ( har ikke rettigheder til at kigge i de filer)
> ellers er det åbent for alle personer - og syntes jeg har prøvet det
> meste i de 2 bøger omkring samba jeg sidder med.
> Vi kører ikke domæne eller andet end arbejdsgruppe - men derfor burde
> det vel nok kunne lade sig gøre alligevel.
>
> [ms]
> path = /shared/ms
> # only user = yes
> force group = msgruppe
> force create mode = 770
> valid users = %S
> write list = @msgruppe
> create mode = 770
> directory mode = 770
> # force directory mode = 770
>
> Her er lidt af de enkelte ting jeg har prøvet inkl. admin users, men jeg
> kan på ingen måde få det til at fungere således at gruppen får adgang
> til at kunne se i de mapper - uden alle andre brugere også kan.
>
> Min Global ser således ud:
> [global]
> log file = /var/log/samba/%m.log
> load printers = yes
> null passwords = yes
> encrypt passwords = yes
> show add printer wizard = no
> public = yes
> writeable = yes
> printing = cups
> server string = FILESERVER
> dos charset = 850
> workgroup = MYGROUP
> os level = 255
> printcap name = cups
> security = user
> unix charset = ISO8859-1
> max log size = 10000
> disable spooles = yes
>
> Har den null passwords så meget at sige - det er den tidligere sysadmin
> der ikke har sat passwords til - så brugerne bare kunne logge ind som
> det passede dem. Nu er firmaet vokset og der skal noget mere kontrol
> over - men kan ikke lige forstå at det her ikke vil fungere?
>
> Har I et bud på dette?

En mulig løsning:
Brug directory mode 700
admin users = @ledergruppe

Så har er det kun medlemmer ledergruppe der kan alt, og andre kan kun gå
i egne directorys.

/Jens Henrik

---

Jens Henrik Leonhard Jensen wrote:

>
> En mulig løsning:
> Brug directory mode 700
> admin users = @ledergruppe
>
> Så har er det kun medlemmer ledergruppe der kan alt, og andre kan kun gå
> i egne directorys.
>
> /Jens Henrik

Hey Jens.
Tak for svaret.
Det virkede såmænd også selv om jeg havde prøvet dette i forvejen.
Netop også fordio at det var min opfattelse at admin users -overtrumfer
alt andet .
Men tror at det har været min misforståelse omkring 770 / 700

Men tak for svaret