12.2. Verwaltung von Freigaben über Univention Management Console Modul

Verzeichnisfreigaben werden im UMC-Modul Freigaben verwaltet (siehe auch Univention Management Console-Module).

Beim Hinzufügen/Bearbeiten/Entfernen einer Freigabe wird diese in die Datei /etc/exports, und/oder in die Samba-Konfigurationsdatei eingetragen/modifiziert oder entfernt.

Abb. 12.1 Anlegen einer Freigabe im UMC-Modul Freigaben

12.2.1. Freigaben UMC Modul - Reiter Allgemein

Tab. 12.1 Reiter Allgemein

Attribut	Beschreibung
Name	Hier ist der Name der Freigabe einzutragen. Der Name darf nur aus Buchstaben, Ziffern, Punkten oder Leerzeichen bestehen und muss mit einem Buchstaben oder einer Ziffer beginnen und enden.
Kommentar	Eine frei wählbare Beschreibung für diese Freigabe. Diese wird auch im Dateibrowser von Windows angezeigt.
Server	Der Server, auf dem die Freigabe liegt. Zur Wahl stehen alle im LDAP-Verzeichnis für die Domäne eingetragenen Rechner vom Typ Primary/Backup/Replica Directory Node und Managed Node, die in einer DNS Forward Lookup Zone im LDAP-Verzeichnis eingetragen sind.
Pfad	Der absolute Pfad des freizugebenden Verzeichnisses ohne Anführungszeichen (auch wenn der Pfad z.B. Leerzeichen enthält). Wenn das Verzeichnis noch nicht existiert, wird es automatisch auf dem ausgewählten Server angelegt. Ist die Univention Configuration Registry Variable listener/shares/rename auf yes gesetzt, wird bei der Änderung des Pfads der Inhalt eines bestehenden Verzeichnisses verschoben. Auf und unterhalb von /proc, /tmp, /root, /dev und /sys können keine Freigaben angelegt oder dorthin verschoben werden.
Besitzer des Wurzelverzeichnis der Freigabe	Der Benutzer, dem das Wurzelverzeichnis der Freigabe gehören soll, siehe Zugriffsrechte auf Daten in Freigaben.
Besitzergruppe für das Wurzelverzeichnis der Freigabe	Die Gruppe, der das Wurzelverzeichnis der Freigabe gehören soll, siehe Zugriffsrechte auf Daten in Freigaben.
Dateiberechtigungen für das Wurzelverzeichnis der Freigabe	Die Lese-, Schreib- und Zugriffsrechte für das Wurzelverzeichnis der Freigabe, siehe Zugriffsrechte auf Daten in Freigaben.

12.2.2. Freigaben UMC Modul - Reiter NFS

12.2.2.1. Freigaben UMC Modul - NFS Gruppe

Tab. 12.2 NFS Gruppe

Attribut	Beschreibung
NFS-Schreibzugriff	Erlaubt schreibenden NFS-Zugriff auf diese Freigabe, ansonsten kann die Freigabe nur lesend verwendet werden.
Subtree-Überprüfung	Wird nur ein Unterverzeichnis eines Dateisystems exportiert, muss der NFS-Server bei jedem Zugriff überprüfen, ob die zugegriffene Datei auf dem exportierten Dateisystem und in dem exportierten Pfad liegt. Für diese Prüfung werden Pfad-Informationen an den Client übergeben. Die Aktivierung dieser Funktion kann zu Problemen führen, wenn eine auf dem Client geöffnete Datei umbenannt wird.
User-ID für Root-Benutzer ändern (Root-Squashing)	Die Identifikation von Nutzern im NFS-Standardverfahren erfolgt über User-IDs. Um zu verhindern, dass ein lokaler Root-Nutzer auf fremden Freigaben ebenfalls mit Root-Rechten arbeitet, kann der Root-Zugriff umgelenkt werden. Ist diese Option aktiviert, erfolgen Root-Zugriffe als Benutzer nobody. Die standardmäßig leere lokale Gruppe staff verfügt über Privilegien, die root-Rechten recht nahe kommen, wird aber von der Weiterleitung nicht berücksichtigt. Dies sollte bei der Aufnahme von Nutzern in diese Gruppe berücksichtigt werden.
NFS-Synchronisation	Der Synchronisationsmodus für die Freigabe. Mit der Einstellung sync werden Daten direkt auf das unterliegende Speichermedium geschrieben. Die gegenteilige Einstellung - async - kann die Performance verbessern, birgt aber auch das Risiko von Datenverlusten wenn der Server ohne kontrolliertes Herunterfahren abgeschaltet wird.
Zugriff nur für diese Rechner, IP-Adressen oder Netze erlauben	Standardmäßig wird allen Rechnern der Zugriff auf eine Freigabe erlaubt. In die Auswahlliste können Rechnernamen und IP-Adressen aufgenommen werden, auf die dann der Zugriff auf die Freigabe beschränkt wird. Hier ließe sich etwa der Zugriff auf eine Freigabe mit Maildaten auf den Mailserver der Domäne einschränken.

12.2.2.2. Freigaben UMC Modul - Gruppe Erweiterte NFS-Einstellungen

Tab. 12.3 Gruppe Erweiterte NFS-Einstellungen

Attribut	Beschreibung
Erweiterte NFS-Einstellungen für Freigaben	Neben den in der Gruppe NFS konfigurierbaren Eigenschaften einer NFS-Freigabe ermöglicht diese Einstellung beliebige weitere NFS-Einstellungen an einer Freigabe zu setzen. Eine Liste der verfügbaren Optionen kann mit dem Befehl man 5 exports abgerufen werden. Doppelt angegebene Konfigurationsoptionen werden nicht überprüft.

Vorsicht

Das Setzen erweiterter NFS-Einstellungen ist nur in Sonderfällen nötig. Die Optionen sollten vor dem Setzen gründlich geprüft werden, da sie unter Umständen sicherheitsrelevante Auswirkungen haben können.

12.2.3. Freigaben UMC Modul - Reiter Samba

12.2.3.1. Freigaben UMC Modul - Gruppe Samba

Tab. 12.4 Reiter Samba

Attribut	Beschreibung
Windows-Name	Der NetBIOS-Name der Freigabe. Unter diesem Namen wird die Freigabe auf Windows-Rechnern in der Netzwerkumgebung angezeigt. Das UMC-Modul übernimmt beim Hinzufügen einer Verzeichnisfreigabe als Vorgabe den Namen, der auf der Karteikarte Allgemein im Feld Name eingetragen ist.
Freigabe in der Windows-Netzwerkumgebung anzeigen	Konfiguriert, ob diese Freigabe auf Windows-Rechnern in der Netzwerkumgebung angezeigt werden soll.
Anonymen Nur-Lese-Zugriff mit Gastbenutzer erlauben	Erlaubt den Zugriff auf diese Freigabe ohne Passwortabfrage. Alle Zugriffe werden dabei über einen gemeinsamen Gast-Nutzer nobody durchgeführt.
Freigabe als MSDFS-Wurzel freigeben	Diese Option ist in Unterstützung von MSDFS dokumentiert.
Verstecke nicht lesbare Dateien und Verzeichnisse	Wenn diese Option aktiviert ist, werden Dateien, die anhand der Dateirechte für einen Benutzer nicht lesbar sind, für diesen nicht angezeigt.

12.2.3.2. Freigaben UMC Modul - Gruppe Samba-Rechte

Tab. 12.5 Gruppe Samba-Rechte

Attribut	Beschreibung
Benutzer mit Schreibrechten dürfen die Berechtigungen verändern	Wird diese Option aktiviert, erhalten alle Benutzer mit Schreibrechten auf eine Datei auch die Möglichkeiten Berechtigungen, ACL-Einträge und Dateibesitzrechte zu ändern, siehe Zugriffsrechte auf Daten in Freigaben.
Erzwungener Benutzer	Der Benutzername, mit dessen Namen, Rechten und primärer Gruppe alle Dateioperationen zugreifender Benutzer ausgeführt werden sollen. Der Benutzername wird erst verwendet, nachdem der Benutzer mit seinem tatsächlichen Benutzernamen und gültigem Passwort eine Verbindung zur Samba-Freigabe aufgebaut hat. Ein gemeinsamer Benutzername ist nützlich, um Dateien gemeinsam zu benutzen, kann bei falscher Anwendung aber Sicherheitsprobleme verursachen.
Erzwungene Gruppe	Eine Gruppe, die alle Benutzer, die sich mit dieser Freigabe verbinden, als primäre Gruppe verwenden sollen. Dadurch gelten die Rechte dieser Gruppe als Gruppenrechte für alle diese Benutzer. Eine hier eingetragene Gruppe hat Vorrang über eine Gruppe, die über das Eingabefeld Erzwungener Benutzer zur primären Gruppe eines Benutzers geworden ist. Wird dem Gruppennamen ein Plus-Zeichen (+) vorangestellt, wird die Gruppe nur solchen Benutzern als primäre Gruppe zugeschrieben, die bereits Mitglied dieser Gruppe sind. Alle anderen Benutzer behalten ihre gewöhnliche primäre Gruppe.
Gültige Benutzer oder Gruppen	Namen von Benutzern oder Gruppen, die auf diese Samba-Freigabe zugreifen dürfen. Alle anderen Benutzern wird der Zugriff verweigert. Wenn das Feld leer ist, dürfen alle Benutzer - gegebenenfalls mit ihrem Passwort - auf die Freigabe zugreifen. Diese Option ist nützlich, um Zugriffe auf eine Freigabe über die Dateiberechtigungen hinaus auf Ebene des Fileservers abzusichern. Die Einträge sind durch Leerzeichen zu trennen. Durch die Zeichen @, + und & in Verbindung mit einem Gruppennamen kann den Mitgliedern der angegebenen Gruppe die Berechtigung zum Zugriff auf die Samba-Freigabe erteilt werden: Ein Name, der mit @ beginnt, wird zunächst als NIS-Netgroup interpretiert. Wenn keine NIS-Netgroup mit diesem Namen gefunden wird, wird der Name als UNIX-Gruppe angesehen. Ein Name, der mit + beginnt, wird ausschließlich als UNIX-Gruppe aufgefasst, ein Name, der mit & beginnt, ausschließlich als NIS-Netgroup. Ein Name, der mit +& beginnt, wird zunächst als UNIX-Gruppe interpretiert. Wenn keine UNIX-Gruppe mit diesem Namen gefunden wird, wird der Name als NIS-Netgroup betrachtet. Die Zeichen &+ als Namensanfang entsprechen @.
Nicht erlaubte Benutzer oder Gruppen	Die hier aufgeführten Benutzer oder Gruppen dürfen auf diese Samba-Freigabe nicht zugreifen. Die Syntax ist identisch zu den gültigen Benutzern. Wenn ein Benutzer oder eine Gruppe in der Liste der gültigen Benutzer und der nicht erlaubten Benutzer enthalten ist, so wird der Zugriff verweigert.
Leseberechtigung auf diese Benutzer/Gruppen beschränken	Nur die aufgeführten Benutzer oder Gruppen erhalten Leserecht auf die Freigabe.
Schreibberechtigung auf diese Benutzer/Gruppen beschränken	Nur die aufgeführten Benutzer oder Gruppen erhalten Schreibrecht auf die Freigabe.
Zugelassene Rechner/Netze	Namen von Rechnern, die auf diese Samba-Freigabe zugreifen dürfen. Allen anderen Rechnern wird der Zugriff verweigert. Neben Rechnernamen können auch IP- oder Netzwerkadressen angegeben werden, z.B. 192.0.2.0/255.255.255.0.
Nicht zugelassene Rechner/Netze	Das Gegenteil von den zugelassenen Rechnern. Sollte ein Rechner in beiden Listen auftauchen, so wird dem Rechner der Zugriff auf die Samba-Freigabe gestattet.
Ererbte ACLs	Bei Aktivierung dieser Option erbt jede in dieser Freigabe neu erzeugte Datei die ACL (Access Control List) des Verzeichnisses, in dem sie angelegt wird.
Neue Dateien und Verzeichnisse erhalten den Besitzer des übergeordneten Verzeichnisses	Bei Aktivierung dieser Option wird jede neu erzeugte Datei dem Besitzer des übergeordneten Verzeichnis zugeordnet und nicht dem Benutzer, der die Datei erstellt hat.
Neue Dateien und Verzeichnisse erhalten die Zugriffsrechte des übergeordneten Verzeichnisses	Bei Aktivierung dieser Option werden für jede Datei oder jedes Verzeichnis, die in einer Freigabe neu erzeugt werden, automatisch die UNIX-Rechte des übergeordneten Verzeichnisses übernommen.

Wenn von einem Windows-Rechner aus eine neue Datei auf einem Samba-Server angelegt wird, werden die Rechte der Datei in mehreren Schritten gesetzt:

1. Zunächst werden die DOS-Rechte in Unix-Rechte übersetzt.

2. Anschließend werden die Rechte durch den Datei-Modus gefiltert. Nur die Unix-Rechte, die im Datei-Modus markiert sind, bleiben erhalten. Rechte, die hier nicht gesetzt sind, werden entfernt. Die Rechte müssen also als Unix-Rechte und im Datei-Modus gesetzt sein, um erhalten zu bleiben.

3. Im nächsten Schritt werden die Rechte um die unter Erzwinge Datei-Modus gesetzten Rechte ergänzt. Als Ergebnis hat die Datei alle Rechte, die nach Schritt 2 oder unter Erzwinge Datei-Modus gesetzt sind. Rechte, die unter Erzwinge Datei-Modus markiert sind, werden also auf jeden Fall gesetzt.

Entsprechend erhält ein neu angelegtes Verzeichnis zunächst die Rechte, die sowohl als Unix-Rechte als auch im Verzeichnis-Modus gesetzt sind. Danach werden die Rechte ergänzt, die unter Erzwinge Verzeichnis-Modus markiert sind.

12.2.3.3. Freigaben UMC Modul - Gruppe erweiterte Samba-Rechte

Tab. 12.6 Gruppe Erweiterte Samba-Rechte

Attribut	Beschreibung
Datei-Modus	Die Rechte, die Samba beim Anlegen einer Datei übernehmen soll, sofern sie unter Windows gesetzt sind.
Verzeichnis-Modus	Die Rechte, die Samba beim Anlegen eines Verzeichnisses übernehmen soll, sofern sie unter Windows gesetzt sind.
Erzwinge Datei-Modus	Die Rechte, die Samba beim Anlegen einer Datei auf jeden Fall setzen soll, also unabhängig davon, ob sie unter Windows gesetzt wurden oder nicht.
Erzwinge Verzeichnis-Modus	Die Rechte, die Samba beim Anlegen eines Verzeichnisses auf jeden Fall setzen soll, also unabhängig davon, ob sie unter Windows gesetzt wurden oder nicht.

12.2.3.4. Freigaben UMC Modul - Gruppe Samba-Optionen

Tab. 12.7 Gruppe Samba-Optionen

Attribut	Beschreibung
VFS-Objekte	Virtual File System (VFS)-Module werden in Samba verwendet, um Aktionen vor dem Zugriff auf das Dateisystem einer Freigabe auszuführen, z.B. ein Virenscanner, der jede infizierte Datei, auf die in der Freigabe zugegriffen wird, in einem Quarantänebereich ablegt oder eine serverseitige Implementierung einer Papierkorb-Löschung von Dateien.
Verstecke Dateien	Dateien und Verzeichnisse, die unter Windows nicht sichtbar sein sollen. Die Dateien oder Verzeichnisse erhalten das Datei-Attribut hidden. Datei- und Verzeichnisnamen müssen unter Beachtung von Groß- und Kleinschreibung angegeben werden. Die einzelnen Einträge sind durch Schrägstriche zu trennen. Da der Schrägstrich nicht als Verzeichnistrenner eingegeben werden kann, dürfen nur Namen, aber keine Pfade eingetragen werden. Alle Dateien und Verzeichnisse mit diesen Namen innerhalb der Freigabe werden dann versteckt. Die Namen dürfen Leerzeichen und die Platzhalter * und ? enthalten. Zum Beispiel versteckt /.*/test/ alle Dateien und Verzeichnisse, die mit einem Punkt beginnen oder test heißen. Bemerkung Einträge in diesem Feld beeinflussen die Geschwindigkeit von Samba, da vor Anzeige von Freigabeinhalten alle Dateien und Verzeichnisse auf Übereinstimmung mit den gesetzten Filtern geprüft werden müssen.
Postexec-Skript	Ein Skript oder ein Befehl, der auf dem Server ausgeführt werden soll, wenn die Verbindung zu dieser Freigabe beendet wird.
Preexec-Skript	Ein Skript oder ein Befehl, der auf dem Server bei jeder Verbindungsaufnahme zu dieser Freigabe ausgeführt werden soll.

12.2.3.5. Freigaben UMC Modul - Gruppe Samba-Erweiterte-Einstellungen

Tab. 12.8 Gruppe Samba-Erweiterte-Einstellungen

Attribut

Beschreibung

Erweiterte Einstellungen für Freigaben

Neben den standardmäßig konfigurierbaren Eigenschaften einer Samba-Freigabe ermöglicht diese Einstellung beliebige weitere Samba-Einstellungen an einer Freigabe zu setzen. Eine Liste der verfügbaren Optionen kann mit dem Befehl man smb.conf abgerufen werden. Unter Schlüssel ist der Name der Option anzugeben und unter Value der zu setzende Wert. Doppelt angegebene Konfigurationsoptionen werden nicht überprüft.

Vorsicht

Das Setzen erweiterter Samba-Einstellungen ist nur in Sonderfällen nötig. Die Optionen sollten vor dem Setzen gründlich geprüft werden, da sie unter Umständen sicherheitsrelevante Auswirkungen haben können.

12.2.4. Freigaben UMC Modul - Reiter Optionen

Tab. 12.9 Reiter Optionen

Attribut	Beschreibung
Für Samba-Clients exportieren	Diese Option legt fest, ob die Freigabe für Samba-Clients exportiert werden soll.
Für NFS-Clients exportieren	Diese Option legt fest, ob die Freigabe für NFS-Clients exportiert werden soll.