10.5.4: rechteprobleme mit Samba

[2Bas]

Hallo allerseits!

Ich hab' grad einen neuen Mac ins Netzwerk bekommen, der mit 10.5.4 läuft (ich fahr' noch mit 10.4.11). Im Netz gibt's auch windows und linux-Rechner, die alle gemeinsam auf einen Fileserver (Samba auf gentoo) zugreifen. Das Problem ist jetzt, dass der leopard-Mac die rechtemaske nicht korrekt umsetzt und die samba-einstellungen überschreibt (die gruppenrechte werden bei verzeichnissen gelöscht - damit kann niemand mehr die dateien ändern). Hab' schon folgendes gefunden:

My issues disappeared after adding the unix extensions = off parameter to the [global] section of the smb.conf file:

[global]
# Make the file server play well with others (i.e. OS X Leopard)
unix extensions = off

damit stimmen dann zwar die rechte bei neuen Files vom leopard-mac, dann kommen aber unsere linux-rechner nicht mehr auf die shares

lustigerweise hatten wir vor kurzem einen anderen leopard rechner, der dieses Problem nicht hatte...

any idea?

liebe Grüße

Tobias

 

[Katagia]

Wir werden die Freigaben von den Linux Maschinen aus gemountet? Per cifs oder smbfs?
Ich habe mit Samba und den "unix extensions" gute Erfahrungen gemacht. Ausführbare Dateien, Symlinks, ..., das alles funktionier plötzlich.

Ansonten kann man noch einstellen, welche Rechtemaske als Default verwendet wird und welche Rechte überhaupt erlaubt sind zu setzen. Eventuell weicht hier das Verhalten von OSX etwas ab und verwendet Berechtigungen, die nicht so ganz der Default Vorgabe entsprechen aber trotzdem erlaubt sind.

 

[2Bas]

unsere Linux Maschienen mounten die shares via smb. Der fileserver ist (via Rechtemaske) so konfiguriert, dass die Gruppenrechte automatisch auf rwx gestellt werden. Der Mac (10.5.4) überschreibt diese rechte aber wieder und löscht sie....

kann man eine entsprechende Maske eventuell in einer config am Mac setzen?

 

[Katagia]

Die Default Maske lässt sich unter Linux mit "umask" ändern. Sollte unter OSx genauso sein. Ein anderer Parameter ist mir nicht bekannt.

Ansonten kann man in der smb.conf auf dem Server bestimmte Rechte erzwingen, mehr dazu findest du unter "man smb.conf"

 

[2Bas]

Sorry, wenn ich jetzt dumme Fragen stelle, aber ich kenn' mich leider nicht so gut aus...

Der Server verwendet diese umask und bei allen linux-maschinen funktioniert das ja auch problemlos. Die ACLs sind aufgedreht. Die UNIX-Extensions könnten zwar abgeschaltet werden (dann würd's auch funktionieren) nur bringt das andere Probleme mit sich.

Soviel ich das mitbekommen habe geht's hier nur um die Verzeichnisse. Sobald ein neues Dir anglegt wird erhält es die über umask definierten Rechte. Leo schickt aber nochmal einen Request um diese Rechte zu ändern

Es muss also irgendwo eine config am Mac geben, mit der ich das verhindern kann...

 

[Katagia]

Was sind aufgedrehte ACLs? Hört sich stressig an.
Ich habe die Erfahrung gemacht, dass man derartige Details meistens unter Linux schneller als unter OSX in den Griff bekommt. Klar geht es dort auch, nur das Wissen ist auf wesentilch weniger Personen begrenzt.

Das Sicherste ist es, die Einstellungen am Server vorzunehmen. Dann bringt dir nicht ein verstellter Client alles durcheinander. Die man-Page von samba, genauer man smb.conf hast du dir angesehen?
Da gibt es Parameter, z.B. "directory security mask", "force directory mode" usw. Mit denen kannst du genau das machen, was du willst.

 

[2Bas]

ACL = Access Control List

vielen Dank für deine Hilfe Katagia, aber weil ich's eben an diesem verdrehten Client namens 10.5. richten will poste ich hier, wo ich hoffe von erfahrenen Mac-Usern/Admins Infos zu bekommen. Ich bin nicht der einzige mit diesem Problem und hab' gleiche Beschreibungen schon bei MacUser.de, dan Apple-Discussion Groups usw. gefunden. Nur leider hab' ich dort nur die unix_extensions (=off) gefunden, die in meinem Netz aber aktiviert bleiben müssen - sonst degradier ich den Fileserver zur dummen speicherkiste und kann etwa keine Home-directories drauf ablegen, worauf unsere linux rechner aber ausgelegt sind...

force directory mode usw ist schon richtig gesetzt, sonst würden alle anderen Rechner schon vor Jahren geschriehen haben. Mit 10.4.11 hab' ich auch keine Probleme...

andere Vorschläge?

 

[Katagia]

Irgned wie scheint mir da gerade etwas ein wenig durcheinander.
Die "unix extensions" funktionieren eigentlich nur über cifs. Du hast weiter oben geschrieben, dass die Linux Maschinen die shares via smb mounten?
Ich vermute, ohne die "unix extensions" versucht Samba, die Dos-Rechte auf die Unix-Rechte zu mappen, mit nicht.

Ich würde mir nochmal alles genau anschaun; irgend etwas scheint da durcheinander.

Wenn du die Rechte richtig erzwingst, sollte es keine Probleme geben, auch wenn sich ein Client nicht daran hält. Der Zwang wird auf dem Server eingestellt, der Client kann nicht anders.

Samba ist unter der GPl veröffentlicht. Egal was Apple daran rumgespielt hat, die Änderungen müssen veröffentlich werden und können eingesehen werden.

Eine andere Idee wäre, für OSX einfach eine 2. Share mit anderen Einstellungen zu erstellen, die auf das selbe Verzeichnis zeigt.


Aber wie gesagt, ich vermute da stimmt etwas generell mit eurem Setup nicht.

 

[2Bas]

hab' jetzt bei apple angerufen und hab' einen sehr freundlichen Techniker am Ohr gehabt...

Er hat von dem Problem schon mal gehört und ruft mich zurück, wenn die Entwicklung sich gemeldet hat. Werd' die Antwort dann posten...

btw: hab' in der .profile den Eintrag umask=002 angelegt und konnte dann über's terminal verzeichnisse mit den korrekten Rechten am share anlegen... Über'n Finder hat's noch immer nicht funktioniert

na bin mal gespannt, was apple dazu sagt...

 

[2Bas]

update

wurde auf das update zu 10.5.5. vertröstet, wo der bug wahrscheinlich behoben sein wird...

mal schaun...

 

[Flo82]

dann hast de ja Glück, den das kam gestern

Grüße
Flo

 

[fellowweb]

@2Bas: Hier ist es so ruhig geworden. Ist das Problem denn bei Euch jetzt verschwunden?

Ich habe jetzt mit meinem neuen Mac dasselbe Problem (Mac OS X 10.5.6). Hier bin ich noch auf einen Lösungsansatz gestoßen, der über locking = no oder posix locking = no arbeitet. Jedoch finde ich das zum einen etwas arg "offensiv" in der Herangehensweise und zum anderen funktioniert es bei mir nicht.

Der Eintrag unix extensions = off in meiner smb.conf führt dazu, dass wir komplette Ordner (mit weiteren Unterordnern und/oder Dateien) wieder problemlos auf die Samba-Freigaben kopieren/verschieben können.

Jedoch wird dann der Server nicht mehr mit seinem Namen im Finder unter Freigaben angezeigt. Stattdessen muss ich mich mit ihm über "Gehe zu" => "Mit Server verbinden..." per IP-Adresse verbinden.

Unter den Windows- und Ubuntu 8.10-Clients wird er (sowohl mit als auch ohne Unix-Extensions) angezeigt und funktioniert problemlos.