opsætning af samba

du enabler guest i samba

det kan da ikke være specielt sikker.

jeg vil gerne have en ordentlige guide

hvis du vil fjerne koden, skal du sætte

security = share, din er sikkert
security = user
?

Når du så skal tilføje brugere, skal du bruge

smbpasswd -a <bruger>

Så tilføjer du en bruger, samt sætter et password!

Det kan være du skal sætte rettigheder på mappen /web/riversen.dk/ hvis du for problemer med andre brugere!

security = share (alle logger ind)
security = user (bruger/kode er krævet), derfor skal du bruge smbpasswd her som beskrevet ovenfor.

jeg har oprettet en bruger riversen viah smbpasswd -a riversen

men brugeren har så ikke skriverettigheder, og det er jo rigtig nok. Men hvad hvis riversen skal have fuld adgang...bruger2 skal have læse rettigheder og bruger3 skal ikke have rettigheder. Hvordan drejer jeg den=

Brug smbpasswd - a og giv alle brugere et sambapassword.

Opsæt smb.conf således:
--------------------------------------------------------
security = user

[riversen.dk]
  path = /web/riversen.dk
  valid users = <bruger1> <bruger2> <bruger3> osv... (med mellemrum) 
  public = no
  writeable = yes
-------------------------------------------------------
Så opretter du en gruppe der hedder web med kommando:
groupadd riversen.dk
De brugere der så skal have læserettigheder gør du til medlem af gruppen med komandoen:
usermod -G riversen.dk <bruger>
Til sidst skal du ændre rettighederne for biblioteket med disse 2 komandoer:
chmod -R /web/riversen.dk
chown -R <bruger>:web /web/riversen.dk
Den <bruger> der skrives i chown, er den bruger der får skriverettighed til biblioteket.

Hvis du følger dette, så får du en ejer der har fuld adgang til biblioteket. Mens alle de brugere du tilføjer gruppen riversen.dk, har læserettigheder. Og alle andre kan ikke få adgang....

Go fornøjelse!

:-) bjuhl

Der indsneg sig lige et par fejl i farten.

Du opretter selvfølgelig ikke en gruppe der hedder web med komandoen:
groupadd riversen.dk (du kan selvfølgelig selv bestemme hvad gruppen skal hedde) men jeg har brugt gruppen "riversen.dk" som eks.

Desuden skal komandoen chmod se sådan ud:
chmod -R 750 /web/riversen.dk

hvad så hvis der er 2 brugere, der skal have fuld adgang ?

og ellers en gruppe med læserettigheder og resten ingen adgang

ikke at jeg lige skal bruge det pt, men det kan jo være senere...og det forekommer mig en smule mere begrænset end i windows...men det er sikkert fordi jeg ikke lige kan se det

Hvis der er 2 brugere, der skal have skriveadgang, så skal du bruge gruppen, og give biblioteket chmod -R 770
Så kan ejer og gruppe skrive/læse, mens "alle andre" ingenting kan.

Nu glemte jeg lige en vigtig ting.....!!!

Hvis du fjerner læserettigheder for "alle andre" dvs. 750 el. 770 så SKAL gruppen hedde "apache", da jeg går ud fra at det er en hjemmeside. Ellers kan folk ikke se den ude på nettet, da de jo er "alle andre" brugere.
Men ved at kalde gruppen apache, så giver du webserveren adgang til biblioteket, og så virker det på nettet.

Men du har ret, det er ikke ligetil, der er mange ting der skal tænkes igennem.

Er du forvirret???? :-)

jaja, det er jeg med på, men hvad hvis 2 grupper skal have forskellig adgang og 2 brugere skal have forskellig adgang på samme tid

så vidt jeg kan forstå er der kun mulighed for 1 bruger og 1 gruppe pr mappe

Det er rigtigt....

Det bliver svært hvis det er et webserver bibliotek. For der skal gruppenavnet være apache, hvis biblioteket er sat til 770 el. 750

Men du siger at 2 brugere skal have forskellig adgang på samme tid. Eftersom der i princippet kun er 2 forskellige slags adgang (skrive og læse), så kan den ene bruger være ejer og den anden medlem af apache og bibliotek sat til 750. Så har du jo det du eftersøger.

HVIS der er mere end 1 bruger der skal skrive, og mere end 1 bruger der skal læse...... Så SKAL du tage den sidste denne i brug 775
Så har du en ejer og en gruppe der kan skrive og alle andre kan læse.

du glemmer jeg skriver også 2 grupper!

jeg skærer det lige ud :-)

7 brugere skal have læse rettigheder...7 brugere skal have skriverettigheder

OK, så blæser vi lige på Linux systemet, og laver en løsning i Samba...

1) Opret smbpasswd på samtlige brugere...
2) Lav en gruppe til dem der skal have skriverettigheder (eks. webusers)
3) Ændre attributer på mappen
      chmod -R 775 /web/riversen.dk (med 775 skal du ikke tænke på apache)
4) Ændre ejer:gruppe på mappen
      chown -R riversen:webusers /web/riversen.dk

Det er ligegyldig hvem ejer er, da gruppen også har skriverettigheder (775)

5) Ændre smb.conf til følgene
--------------------------------------------------------
security = user

[riversen.dk write]
  path = /web/riversen.dk
  valid users = <bruger1> <bruger2> <bruger3> ...(alle de bruger i webusers)
  public = no
  writeable = yes

[riversen.dk read]
  path = /web/riversen.dk
  valid users = <bruger8> <bruger9> <bruger10> ... (alle andre brugere)
  public = no
  writeable = no
-------------------------------------------------------

Med denne løsning kan du angive hvem af brugerne der skal skrive eller læse, direkte i smb.conf, dette gælder så ikke i Linux, men hvis brugerne ikke har adgang via en Shell eller direkte på maskinen, så er det også ligemeget.

Du får nu 2 delte mapper i windows, "riversen.dk write" og "riversen.dk read".
MEN det er kun de brugere du har angivet under de 2 delinger der kan logge ind fra windows. Og alle de brugere der skal kunne skrive, SKAL være medlem af gruppen, da Linuxreglerne overgår sambareglerne.

Håber dette er acceptabel....

ok, så det er ikke helt så smart :-)

Jo, det er ok.

Men det er svært når man har for mange krav til systemet....

Du skal lige huske at hvis en bruger f.eks. opretter en fil i biblioteket, så er den jo ejet af ham og hans egen gruppe... Det er en af ulemperne...
Men hvis de kun redigere filer oprettet af dig, så forbliver rettighederne det samme.
Men du kan bare leve en execute-fil med chmod og chown linierne i.... hvis den fil så ligger i et bibliotek i path, så virker den ligesom en gammel dos-batchfil, så kan du kører den engang imellem. Det bruger jeg selv. Der kan endda laves et cron-job, så den selv gør det engang imellem.

Men der er ikke andet for end at lege med det... hehe

hmmm...kan jeg lige spørge om en enkelt ting ?

Jep, skyd løs

jeg er lige begyndt forfra og har fået delt etc. og kan sagtens smide en fil over...men når jeg søger på min debian spand, siger den at filen findes i /tmp

hvorfor nu det ?

smb.conf ser sådan ud:
[larsen]
    path /web/larsen
    browseable = yes
    valid users = riversen
    writeable = yes

der er lige en fejl kan jeg se :-)

jaja, det var jo det

[larsen]
    path = /web/larsen
    browseable = yes
    valid users = riversen
    writeable = yes

Du har lige glemt et = tegn i path

Hvad mener du med at du har "delt etc"

indsæt også:

public = no

og den der browserable, er lidt ligemeget, da linux attributerne overgår samba. Så hvis biblioteket er 7 ellr 5 kan du se alligevel

Din smb.conf skal se sådan ud, hvis det er en normal server uden domain, uden printerer, og under workgroup i windows.
.........................................
[global]
    server string = Samba
    workgroup = workgroup
    log file = /var/log/samba/%m.log
    max log size = 0
    encrypt passwords = yes
    smb passwd file = /etc/samba/smbpasswd
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
    pam password change = yes
    obey pam restrictions = yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    username map = /etc/samba/smbusers
    dns proxy = no

[larsen]
path = /web/larsen
public = no
valid users = riversen
writeable = yes

"passwd chat..." hænger sammen med linien nedenunder der starter med"* passwd:" ,ed et mellemrum imellem.

Tjeck den op imod din smb.conf

det er godt nok irriterende, man skal ind og ordne rettigheder hver gang man kopierer noget over...at det ikke nedarves automatisk

det kan ordnes....

Tjeck om du har cron kørende med komandoen:
service crond status

Hvilke rettigheder skal biblioteket have, så sammensætter jeg lige et lille script til dig.
Jeg skal vide:
Ejer, gruppenavn, samt skrive/læserettigheder for ejer, gruppe og alle andre

Debian-spand:/# service crond status
bash: service: command not found

jeg har kørt

chown -R root:riversen web
og
chmod -R 775 web

så det er rettighederne

Det er ikke for sent at skifte distribution.

Gå lige i /etc og se om der er nogle biblioteker der hedder noget med *.hourly weekly monthly og daily

Jeg skal vide hvad der står foran

Jeg ved sku ikke hvad det ellers hedder i debian. Jeg er redhat mand

Men jeg kan stadig lige sammensætte noget du bare kan køre med en simpel kommando, hvis du lige giver mig oplysningerne om biblioteket

ok, der var jeg lige lidt hurtig

hvis jeg bruger "top" står crond ikke i listen..er det svar nok =

drwxr-xr-x    2 root    root        4096 Oct  2 15:17 cron.d
drwxr-xr-x    2 root    root        4096 Oct  2 15:17 cron.daily
drwxr-xr-x    2 root    root        4096 Oct  2 09:24 cron.monthly
drwxr-xr-x    2 root    root        4096 Oct  2 09:25 cron.weekly

Det gør vi nemt.

Lave en fil med komandoen:
touch filnavn

Dette filnavn er det som du vil skrive for at ændre hele biblioteket

Derefter sætter du de 2 linier ind i filen (husk /web) for god ordens skyld

Derefter:
chown root:root filnavn
chmod 750 filnavn

Til sidst flytter du den til /bin

Nu kan du, ligegyldig hvor du står, skrive dette filnavn og så ændre den rettighederne på alt.

Det der så er meningen er at man skal lave det til et såkaldt cron-job
ved at kopiere filen ind i hourly bibliotek til crond, så kører den det automatisk hver time.

hmmm, men bibliotekerne er der

ok, så har jeg lige et sidste spørgsmål...rent teoretisk, da det nok ikke bliver aktuelt. Men hvis jeg nu ville hoste en hjemmeside for en bekendt og give ham ftp adgang...SKAL det så være samme procedure, for det er da virkelig upraktisk, hvis hans sider først bliver tilgængelige, når cron-jobbet er kørt.

Du skal være logget ind som root, når du skriver: service crond status

det er jeg også

/web/dinven.dk

chown -R dinven:apache /web/dinven.dk
chmod -R 750 /web/dinven.dk

Når han så logger ind via FTP og uploader noget står det bare i hans eget navn.
Han skal bare logge ind med den ejer der er angivet i hovedbiblioteket og gruppe er apache, for eller kan folk ikke se siden, da "alle andre" er sat til 0

Er det forståeligt sprog

Logger du ind som root fra start eller skriver du SU -

fra start

hvis han logger ind med den ejer der er angivet i hovedbiblioteket, så sætter den ikke både owner og group til ftp-brugeren ligesom med samba ? og piller ved rettigheder

Men virker den anden fil ikke.

Så er det bare et spørgsmål om at installere crond, selvom jeg ikke forstår det.
Kan du have valgt det fra under installationen, det er nemlig et standard program.

cron er også i /etc/init.d men det er vel bare et spørgsmål om den startes ved opstart

jeg har ikke lavet filen endnu, men det skal jo nok virke

lige nu er jeg bare forbandet træt af den dårlige måde, det er bygget op på mht. rettigheder, ownership etc.

Når han kopiere noget ind i hovedbiblioteket eller opretter biblioteker, bliver de således:

dinven:dinven 755

Men det er jo lige meget, når hovedbiblioteket er dinven:apache 750, så er det kun ham og apache der kan komme ind bag. Så er resten ligemeget bare filerne bag kan læses af alle, dvs xx5 (755 er standard når en bruger opretter noget)

Det lærer du at blive glad for... hehe

Jeg hadede også da vi gik fra Dos til Windows og fra 3.1 til 98 osv.

Men man skal bare tænke rigtig. Du opretter et bibliotek til din ven, det sætter DU rettigheder til, alt efter hvad det skal bruges til. Og hvad han så end foretager sig bag biblioteket er ligemeget, for der er ikke andre der kan komme forbi hans hovedbibliotek.

Det er kun i forbindelse med fildeling via ftp, der er du nød til at følge med, for ellers kan de jo slette fra lageret af filer. Men da bruger jeg også cron-jobs. Så den går hele FTP/Samba serveren igennem en gang i døgnet.

ok, underligt de ikke får samba til at fungere på samme måde

får når jeg opretter en fil ser det sådan ud
-rwx------    1 riversen riversen        0 Oct  2 22:40 test

alle andre ser sådan ud:
-rwxrwxr-x    1 root    riversen    3489 Sep 21 15:22 om bacchus.htm

mht. din forrige kommentar...hvis folk netop har fået skrive rettigheder for at skulle kunne læse alle hans filer og han så opretter en fil, hvor de bliver udelukket...det er jo ikke smart

ved mig ser den sådan ud

-rwxr--r--

Men det er der jeg bruger cron til at gå det igennem engang i døgnet med en fil, noget liggende det vi lavede i aften.

jeg bliver sq nysgerrig, så jeg må nok lige få sat ftp op, så kan jeg altid oprette et nyt spørgsmål, hvis jeg bliver for gal i skralden igen :-)

Jeg har aldrig rodet i standard rettigheder, for ved mig bliver de altid sådan her, uanset om det er samba eller ftp folk bruger.

ejer:ejer
-rw-r--r-- eller -rwxr--r-- hvis det er et program

Så længe der bare er r-- i sidste rubrik, kan de altid læse.

Husråd:
Normalt bruges x til programmer, MEN
der skal x på et bibliotek hvis man skal kunne komme ind i det. r-- er ikke nok, det gælder kun filer. Dvs. et biblotek skal have r-x på.
Har den kun har r-- skal man kunne huske filens navn, man kan bare ikke kigge.

Sengetid.

Godnat

så er det da underligt min samba ikke gør det på samme måde...

Ja, der må jeg lige melde pas.

Prøv ftp. Jeg bruger vsftpd, men der er også andre muligheder.

vsftpd virker med det samme og bruger som standard linux brugeren og passwd. Så man skal ikke lave specielle ftp passwd ligesom i samba.

Godnat :-)

det er vist det her jeg skal stille på :-)
# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
  create mask = 0700

# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
  directory mask = 0700