Benutzer-Werkzeuge

Webseiten-Werkzeuge


de:technische-dokumentationen:tutorials:samba-shares-mit-webmin

Einrichten von Samba-Shares mit Webmin

Version Status Datum Author URL
0.1 Erster Entwurf 14.05.2020 Sabareeshan Nadeswaran
0.2 Ergänzungen TT.MM.JJJJ Vorname Nachname
1.0 Review und Freigabe TT.MM.JJJJ Vorname Nachname

1. Kurzfassung

Auf der Debian 10 Basisinstallation wurde die Webmin Applikation installiert. Das Web-Gui war über eine fixe IP erreichbar. In diesem Tutorial soll gezeigt werden wie man im Webmin Samba Shares und Users/Groups einrichtet.

Via Web-gui wurden allen Konfigurationen im Webmin vorgenommen. Zunächst wurde Samba Modul hinzugefügt werden, sowie die samba Gruppen/Benutzer und zuletzt auch das Filesharing. Da wurden lokale Posix User/Gruppen ins Samba User/Gruppen konvertiert. Danach wurden Samba-Shares konfiguriert und bestimmten Gruppen Zugriffseinschränkungen zugewiesen.

Die Samba Konfiguration wurde vollständig durchgeführt, darunter auch die Erstellung der Benutzer und Gruppen. Die Shares wurden nach der Berechtigungsmatrix erstellt und somit auch die Zugriffsberechtigungen. Zuletzt sollen die Shares im Bezug zur Berechtigungsmatrix in einem kleinen Testing überprüft werden und dieses dokumentiert werden.

2. Tutorial

2.1 Ist- und Soll-Zustand

Als Vorbedingung für dieses Tutorial muss ein Debian 10 mit Samba und Webmin installiert sein. Die Installation dieser Komponenten wird im Tutorial „Installation eines Samba Servers mit Webmin“ beschrieben.

Auf den Samba Server sollen folgende Nutzer und Gruppen eingerichtet werden.

2.2 Anlegen der Benutzer

Man erstellt zuerst einen «Unix User». Sobald dieser erstellt ist, konvertiert man ihn zu einem Samba User. Es gibt auch die Variante, dass wenn man einen Unix User erstellt, gleichzeitig ein Samba User erstellt wird. In dieser Doku arbeitet man aber mit der Variante wo man die User noch konvertieren muss. Dasselbe gilt auch für die Gruppenerstellung.

In diesem Tutorial fängt man mit dem Erstellen der Gruppe an. Anschliessend kann man dann später bei der Benutzererstellung die entsprechende Gruppe angeben. Ausserdem dient die Gruppe GL als Vorzeigebeispiel für das Erstellen einer Samba Gruppe und auch bei der Benutzererstellung dienst uns ein Mitglied der Gruppe GL als Beispiel.

2.2.1 Erstellen einer Samba-Gruppe

Für das Erstellen einer POSIX Gruppe geht man wie folgt vor. Man geht zum Modul System. System→User and Groups→Locale Groups, und wählt dort →Create a new group. Gruppennamen. Im Dialogfenster gibt man zuerst einen Gruppennamen ein und belässt die Einstellungen so wie in der Abbildung 1. dargestellt.

Nun sollte in der Gruppen-Datenbankbank die entsprechende Gruppe aufgelistet sein. Nachdem die POSIX Gruppe erstellt wurde, muss diese in eine Samba Gruppe konvertiert werden.

Um diese Änderung vorzunehmen geht man auf die Option „Samba Gruppen“, die sich auf der Modul-Seite „Samba Windows Fileshare“ befindet. Daraufhin erscheint ein Dialogfenster.

Folgende Anpassungen müssen dort eingetragen. Im obersten Eingabefeld gibt man den Gruppennamen ein, in unserem Fall GL. Nachher wählen wir aus dem Dropdownmenü den Gruppentyp «Domain group». Als letzte Anpassung geben wir die soeben erstellte POSIX Gruppe GL an bei der Eingabeoption «Unix group».

2.2.2 Erstellung eines Samba Users

Um einen Samba-User zu erstellen, benötigt man ein POSIX-User. Diesen erstellt man, indem man bei der linken Navigationsleiste unter „System“ die Option „User and Groups“ drückt. Dann werden zwei Tabs angezeigt. Der linke Tab zeigt alle lokalen Benutzer und der rechte Tab zeigt alle lokalen Gruppen an. Bei der Benutzerübersicht klickt man auf den Button „Create a new User“. Schlussendlich ist man beim Eingabeformular für die Benutzererstellung angekommen. (Siehe Abbildung 3)

Die Eingaben sind selbsterklärend. Bei «Username» wird der Benutzername und bei «Real name» den Vornamen und Nachnamen des Benutzers eingetragen.

Bei «Password» das Standardkennwort verwenden.

Für die Gruppenzugehörigkeit bei «Primary Group», die entsprechende Gruppe angeben. Als letzte Konfigurationsänderung bei den Fragen «Create home directory» und «Copy template files to home directory» jeweils ablehnen. Wir stellen für die privaten Ordner der Mitarbeiter ja einen eigenen Share mit dem Namen «Mitarbeiter» an und müssen kein zusätzliches Home-Verzeichnis bei einer Benutzererstellung hinzuzufügen. Die letzte Frage bei «Create user in other module» mit Yes beantworten. Sie vereinfacht uns den nächsten Schritt bei der Umwandlung zu Samba Usern. Die restlichen Konfigurationseinstellungen unberührt lassen.

Dann mit der Konvertierung zu Samba-User fortfahren. Um dies durchzuführen geht man in die Option Convert User bei Samba Server. Dort nimmt man nur zwei Änderungen vor. Die erste Anpassung ist die Auswahl der Benutzer bei der Option Unix users to convert. Dort werden alle Benutzer markiert welche für die Konvertierung notwendig ist. Für die Bestätigung muss man «Only listed users or UID ranges» drücken. Die zweite Option ist das Setzen des Standardkennworts für die konvertierten Benutzer. Dafür einfach bei «For newly created users, set the password to», use this password verwenden und Standardkennwort eingeben. Zum Schluss konvertieren bestätigen indem man auf «Convert Users» klickt.

Zur Kontrolle kann man nun bei Samba Users und Samba Gruppen nachschauen ob auch die Gruppen sowie die Benutzer vorhanden sind und.

2.3 Anlegen der Shares

Anmerkung zu Anlegen der Shares: Sobald die Shares erstellt werden, wird ein Verzeichnis auf der Festplatte mit demselben Begriff wie der Sharename erstellt. Der Share «GL» wird als Fallbeispiel bei der untenstehenden Vorgehensweise verwendet. Um ein Share zu erstellen, klickt man den Button „Create a new file share“. Danach erscheint eine neue Seite wo man die Share Informationen eingeben muss. (Siehe Abbildung 7)

Die angebenden Shareinformationen haben folgenden Nutzen. «Share name» ist selbsterklärend, das bewerkstelligt, eine Bezeichnung am Share zu vergeben. Im Filemanager wird dann dieser Share dann unter diesem Namen angezeigt. Wie bei der Anmerkung zu diesem Kapitel erwähnt, ist es möglich bei Webmin bei einer Erstellung von Shares, gleichzeitig ein gleichnamiges POSIX Verzeichnis auf der Festplatte zu erzeugen. Dafür gibt man den Pfad bei Directory to share an und bestätigt mit Yes die Option Automatically create directory. Der Share GL benötigt einen Eigentümer. Dieser wird festgelegt in dem wir zuerst bei der Einstellung Create with owner, den User root angeben. Dann wird dem Share eine Samba Gruppe als Eigentümer zugewiesen. Dabei orientiert man sich an der Matrix. In unserem Fall ist die Gruppe GL für den Share als Eigentümer definiert. Mit Create with Permissions wird dem Share Zugriffseinschränkungen vergeben. Da die Berechtigungsmatrix nur 775 vorgibt, ist diese dem entsprechend einzugeben. Die Bedeutungen der Berechtigungen werden im Kapitel Glossar in kurzen Worten zusammengefasst. Da man mit dem Share arbeiten will muss dieser auch erreichbar sowie zugänglich sein. Dies erreicht man, wenn man bei der drittletzten und zweitletzten Option jeweils mit Yes zulässt.

Wenn man ein Share erstellt hat, erscheint auf der Hauptseite vom Samba Windows Filesharing Modul eine neue Zeile bei der Share-Übersicht. Gleichzeitig sollten Shares im Windows Explorer angezeigt werden, wenn man die Server IP der Debian Maschine im Pfad eingibt.

2.4 Einrichten der Berechtigungen

Es sollen folgende Berechtigungen eingerichtet werden:

Bei der Einrichtung der Berechtigungen muss beachtet werden, dass es bei Samba zwei Berechtigungsebenen gibt

• Security und Access Control: Hier werden die Zugriffsberechtigungen des Shares festgelegt.(Samba)
• File Permissions: Hier werden die Berechtigungen für die Files festgelegt.(POSIX)

Im ersten Schritt wird das Vorgehen am Share GL gezeigt. Bei GL handelt es sich um den einfachsten Fall, da nur einer Gruppe Zugriffsberechtigungen erteilt werden müssen. Am Beispiel Share Vertrieb wird gezeigt, wie man Zugriffsberechtigungen für mehrere Gruppen Zugriffsberechtigungen einrichten kann.

2.4.1 Einrichten der Berechtigungen für den GL Share

Um die Berechtigungen für den Share zu vergeben, klickt man auf den Share, die sich auf der Übersichtstabelle auf der Modul Hauptseite befindet. Daraufhin erscheinen die allgemeinen Shareinformationen. Unter diesen Shareinformationen sind vier Einstellungen dargestellt. Da es sich um einen einfachen Berechtigungsvergabe handelt, muss man nur Einstellungen von „Security und Access Control“ anpassen. Sobald man die Einstellung wählt, wird man auf ein Dialogfenster weitergeleitet.

Die Einstellungen werden im Unterkapitel 2.4.3 näher erläutert wo wir die Berichtigungen für den Share „Vertrieb“ mit ACL vornehmen. Aber aktuell genügt es nur bei der Option „Writable“ auf Yes zu setzen.

Nachdem wir die Änderung mit dem Speichern bestätigt haben ist auch eine Änderung auf der Shareübersicht ersichtlich. Es zeigt an das nun alle bekannten Benutzer lesen und schreiben können.

Nun können alle Mitglieder der Gruppe GL auf den Share zugreifen und können neue Verzeichnisse erstellen oder Dateien erstellen. Die Bestätigung des Zugriffs wird am im Kapitel 3 bzw. im Unterkapitel 3.1 Testfall #1 grafisch nachgewiesen.

2.4.1 Einrichten der Berechtigungen für den Vertrieb Share

Diesmal die Einstellungen „Security + Access Control“ vom Share „Vertrieb“ aufrufen. Danach die Einstellungen so übernommen wie es die Abbildung unten aufzeigt.

Nun benötigen wir zusätzlich noch die Einstellungen „File Permissions“. Für die Freigabe ohne ACL, ändern wir folgende Optionen, wie es die Abbildung unterhalb dieses Abschnitts darstellt.

Die ersten beiden Eingabeoptionen, also «New Unix File Mode* und «New Unix Directory Mode» stehen für die Berechtigungen, wenn sobald eine neue Datei oder ein neues Verzeichnis im Share erstellt. Die letzte Einstellung, die vorgenommen wurde, ermöglicht, dass alle Änderungen im Share so vorgenommen werden, dass diese von der Gruppe „Vertrieb“ durchgeführt wurde. Da nur diese Gruppe aktuell die Berechtigungen hat, im Share Änderungen wirksam vorzunehmen. Um dies zu verwirklichen im Feld «Force Unix group», die Gruppe Vertrieb eingeben.

3. Testing

3.1 Erstellen des Verzeichnis «Partnerverträge» im Share GL als h.mueller

Testfall Nr. #1 Überprüfung auf den Zugriff und Berechtigung für den Share GL
Beschreibung Die Namensauflösung im Netzwerk funktioniert
Vorgehen Shares aufrufen via Windows Explorer, indem man die IP des Servers im Pfad eingibt. Login als h. mueller. Zugriff aufs Share. Erstelle ein Verzeichnis mit dem Namen Partnerverträge
Voraussetzung / Umfeld Samba Modul Konfiguration siehe Kapitel 2.4.1 Das Samba Modul vom Webmin ist wie im Kapitel 2.4.1 beschrieben konfiguriert.
Erwartetes Resultat Verzeichnis ist erstellt und auch via Webmin im Filemanager ersichtlich.
OK / nicht OK OK
Aufgetretene Fehler / Bemerkungen Keine Komplikationen aufgetreten
Bestätigung

3.2. Zugriffsverweigerung bei Login-Versuch von r.schweizer in Technik Share

Testfall Nr. #2 Zugriffsverweigerung für den Share Technik als Einkauf-Mitglied
Beschreubung r.schweizer sollte den Zugriff verweigert bekommen für den Share Technik, da er weder GL noch Technik Mietglied ist.
Vorgehen Login in den Share Technik als r.schweizer.
Voraussetzung / Umfeld GL und Technik haben Zugriff auf den Share Technik
R.Schweizer ist nicht Mitglied von je den beiden Gruppen.
Erwartetes Resultat Fehlermeldung als Login versucht wurde
OK / nicht OK OK
Aufgetretene Fehler / Bemerkungen Keine unerwarteten Fehlermeldungen erschienen
Bestätigung

4. Auswertung

Was hat funktiniert, was nicht, was waren die grössten Herausforderungen/Probleme, wie habe ich die Probleme gelöst, was mache ich beim nächsten Mal besser, Reflexion

5. Quellenverzeichnis

Für dieses Tutorial habe ich verschiedene Internetquellen verwendet

Dateiberechtigungen im Linux[(https://www.informatik-aktuell.de/betrieb/betriebssysteme/rechte-im-dateisystem-mehr-als-nur-rwx.html)]:

Webmin Samba Modul Konfiguration[(https://doxfer.webmin.com/Webmin/Samba_Windows_File_Sharing)]:

ACL[(https://www.youtube.com/watch?v=0KbP-yHSvVI&t=909s)]:

6. Glossar

6.1 Definition Berechtigungen für Unix

In Unix erhalten Benutzer die Berechtigungen, welche an einer Datei oder an einem Verzeichnis zugewiesen ist.

de/technische-dokumentationen/tutorials/samba-shares-mit-webmin.txt · Zuletzt geändert: 2022/09/09 10:31 von e.rueefli