Samba Omnios (napp-it)

[esquire1968]

Hallo zusammen!

Ich habe die Freigaben für alle User entsprechend konfiguriert. Das funktioniert auch soweit. Jedoch sieht jeder User alle verfügbaren Freigaben (kann aber nicht zugreifen). Wie kann ich festlegen, dass jeder User nur die Freigaben sieht, für die er auch berechtigt ist?

Danke im Voraus!

Thomas

 

[pumuckel]

evtl solltest du dafür @gea anschreiben

 

[andrer250282]

Das Zauberwort heißt ABE, Access based enumeration

 

[gea]

Zwei Anmerkungen
Man kann zwar unter OmniOS/Solaris auch SAMBA nutzen, macht das aber üblicherweise nicht sondern nutzt den Solaris eigenen SMB Server. Der ist in das OS und in ZFS integriert, kann im Gegensatz zu SAMBA lokale SMB Gruppen die Gruppen enthalten dürfen, ZFS Snaps als Windows vorherige Version ohne was zu konfigurieren und kann vor allem ntfs artige feinstrukturierte nfs4 Rechte mit Vererbung und nicht nur die einfachen Posix ACL. Auch nutzt er Windows SID als Sicherheitsreferenz anstatt Unix uid/gid. Das hat zur Folge dass man in einem ein Backup oder nach einer Replikation die Windows AD Rechte immer noch hat ohne irgendwelche obskuren Mappings von einer einfachen Unix uid Nummer wie 101 auf eine weltweit eindeutige Windows SID wie S-1-5-21-722635049- 2797886035-3977363046- 2147484648 die auch die Domain enthält, https://docs.oracle.com/cd/E24841_01/html/820-2313/gbacb.html#scrolltoc

ABE (wird beim Freigeben eines Dateisystems aktiviert) ist der Weg um nur die Dateien und Ordner zu zeigen auf die man Zugriff hat. Shares auf die man keine Rechte hat werden aktuell noch angezeigt. Daran wird aber gerade gearbeitet (90% fertig), https://www.illumos.org/issues/15917

Als Workaround kann man "hidden shares" anlegen indem man an der Freigabenamen ein $ anhängt, z.B. share1$. Dann kommt man nur mit Eingabe des Paths darauf.

 

[esquire1968]

@andrer250282 :
Danke für den Tipp - habs's gefunden.

@gea:
Danke für die Erklärung. Ich habe das jetzt auch in napp-it gefunden. Ich muss aber bei den ZFS-Dateisystemen SMB auf "off" und kann dann den Sharename und ABE neu set
Wie kann man ABE bei einem bestehenden Share auf "on" setzen, z. B. Tank-2/Testshare? Komme mit der Erklärung von Oracle nicht weiter.
Danke für den Tipp mit den "hidden shares", verwende ich auch, ist aber nur eine Behelfslösung. Ich warte auf den Bugfix.

Beste Grüße
Thomas

 

[gea]

Am Einfachsten Share auf off dann wieder auf on mit ABE.
Es sollte aber auch per sharemanager nachträglich gehen,

SMB Share Properties - Managing SMB File Sharing and Windows Interoperability in Oracle Solaris 11.2

Use the zfs set and share commands to set share properties that modify the attributes and behavior of an SMB share.

docs.oracle.com

(Illumos entspricht in vielem Solaris 11.2, Solaris 11.4 verwaltet Shares anders)

illumos: manual page: sharemgr.8

illumos.org

 

[esquire1968]

Hallo nochmals!
Der Bug ist offensichtlich gefixt. Wie kann ich den Fix jetzt integrieren? Wird das automatisch gemacht?

Danke! Thomas

 

[gea]

Der kernelbasierte Illumos SMB Server unterdrückt jetzt mit ABE nicht nur Dateien und Ordner auf die man keine Rechte hat, sondern auch Shares, https://www.illumos.org/issues/15917

Um den Fix zu erhalten muss auf den neuesten Illumos Stand upgedatet werden. Unter OpenIndiana (fortlaufendes Illumos) sollte ein "pkg update" genügen.

Bei OmniOS LTS/stable muss man auf das nächste Update warten das diesen Fix enthält. Dann auch da per "pkg update" updaten, https://omnios.org/releasenotes.html

 

[esquire1968]

Danke! Alles klar!