staging.inyokaproject.org

via DuckDuckGo

Samba: Zugriffe auf Verzeichnisse funktionieren nicht mehr

Status: Ungelöst | Ubuntu-Version: Server 24.04 (Noble Numbat)
Antworten |

neelix

Anmeldungsdatum:
25. August 2025

Beiträge: Zähle...
Zitieren
25. August 2025 14:09

Hallo,

ich habe am Freitag die Server in der Schule von 22.04 auf 24.04 hochgezogen, insb. um eine aktuellere Samba-Version mit einem 2016 AD Schema für Windows 11 Clients zu haben. Aber seit dem Update können Anwender nicht mehr auf Ordner in Freigaben zugreifen, wenn der Zugriff auf eine Gruppe beschränkt ist. Berechtigung für "Domain Users" oder Einzelbenutzer funktioniert, aber sobald eine Gruppe im Spiel ist meldet Windows "Sie haben keine Berechtigung".

Ein Blick ins Dateisystem auf Linuxebene zeigt die Gruppen und Rechte (ACL) richtig an und auch der Windows-Dialog "Sicherheit" stimmt. Die Benutzer sind auch laut den AD Tools in den Gruppen. Das meldet auch auch ein 

getent groups GRUPPENNAME

auf dem Samba-AD und 

wbinfo -u -g

auf dem Dateiserver zeigt die Benutzer und Gruppen richtig an.

Kennt jemand diesen Effekt und hat vielleicht die Lösung? Habe ich beim Upgrade irgendeine Änderung übersehen, die ich in der sbm.conf anpassen müsste?

Die smb.conf auf dem Samba-AD 

# Global parameters
[global]
        workgroup = VERWALTUNG
        realm = VERWALTUNG.LAN
        netbios name = SERVER01
        server role = domain controller
        server services = +s3fs -dns +ntp_signd
        idmap_ldb:use rfc2307 = yes
        dcerpc endpoint servers = -winreg -srvsvc
        ad dc functional level = 2016
        log level = 3

[netlogon]
        path = /var/lib/samba/sysvol/verwaltung.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

und die auf dem Dateiserver 

[global]
   workgroup = VERWALTUNG
   realm = VERWALTUNG.LAN
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   panic action = /usr/share/samba/panic-action %d
   security = ads
   passdb backend = tdbsam
   obey pam restrictions = yes
   map to guest = bad user

   load printers = yes
   printing = cups
   printcap name = cups

   idmap config * : range = 10000-20000
   idmap config * : backend = tdb

   template shell = /bin/bash
   winbind use default domain = yes
   winbind nested groups = Yes

   idmap cache time = 1
   idmap negative cache time = 1
   winbind cache time = 1

   winbind enum groups = yes
   winbind enum users = yes

   map acl inherit = yes
   nt acl support = yes


[homes]
   comment = Home Directories
   browseable = no
   read only = no
   create mask = 0700
   directory mask = 0700
   valid users = %S
   veto files = /$RECYCLE.BIN/desktop.ini/

[printers]
   comment = All Printers
   browseable = no
   path = /var/tmp
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no
   write list = @"domain admins"
   force user = root




[verwaltung]
    path = /srv/shares
    read only = no
    hide dotfiles = yes
    veto files = /lost+found/
    hide unreadable = yes
    inherit acls = yes
    admin users = @"VERWALTUNG\Domain Admins"

[programme]
    path = /srv/progs
    read only = no
    hide dotfiles = yes
    veto files = /lost+found/
    hide unreadable = yes
    inherit acls = yes
    admin users = @"VERWALTUNG\Domain Admins"

Danke & Gruß

Neelix

neelix

(Themenstarter)

Anmeldungsdatum:
25. August 2025

Beiträge: 2
Zitieren
25. August 2025 22:03 (zuletzt bearbeitet: 25. August 2025 22:05)

So, ich habe mal den Loglevel auf 5 gestellt und dann sehe ich folgende Zeilen im Log: 

[2025/08/25 21:49:36.654623,  5] source3/smbd/dosmode.c:68(dos_mode_debug_print)
  dos_mode_debug_print: parse_dos_attribute_blob returning (0x10): "d"
[2025/08/25 21:49:36.654659,  4] source3/smbd/open.c:4138(open_file_ntcreate)
  calling open_file with flags=0x0 flags2=0x800 mode=0744, access_mask = 0x100081, open_access_mask = 0x100081
[2025/08/25 21:49:36.654691,  5] source3/smbd/open.c:4718(open_directory)
  open_directory: opening directory test, access_mask = 0x100081, share_access = 0x7 create_options = 0x0, create_disposition = 0x1, file_attributes = 0x10
[2025/08/25 21:49:36.654761,  5] source3/smbd/open.c:4925(open_directory)
  open_directory: Could not open fd for [test]: NT_STATUS_ACCESS_DENIED

Die Berechtigungen auf dem Verzeichnis: 

# file: test
# owner: administrator
# group: domain\040users
user::rwx
user:administrator:rwx
group::---
group:domain\040users:---
group:oberstufe:rwx
mask::rwx
other::---
default:user::rwx
default:user:administrator:rwx
default:group::---
default:group:domain\040users:---
default:group:oberstufe:rwx
default:mask::rwx
default:other::---
Antworten |