pcpatch Benutzer hat keinen Zugriff

[gunter.software]

Ich bin mittlerweile echt am Verzweifeln. Seit Tagen versuche ich das SMB-Share richtig einzurichten. der pcpatch Benutzer kann sich mit dem SMB-Share "opsi_depot" verbinden aber auf keine Dateien zugreifen. Mit dem Benutzer Administrator funktioniert der Zugriff ohne Probleme. Nachdem der opsi_client nicht drauf zugreifen konnte habe ich es mit dem smbclient direkt versucht.

Code: Alles auswählen

smbclient  //$(hostname -f)/opsi_depot -Upcpatch

Das funktioniert, ich kann mich also verbinden aber auf keine Datei zugreifen. Ich weiß garnicht so richtig welche Informationen benötigt werden. Also hier einfach mal ein paar Informationen wenn noch mehr benötigt wird reiche ich die nach.

Dar hwaudit Verzeichnis auf das zugegriffen werden soll:

Code: Alles auswählen

drwxrws--- 3 opsiconfd opsifileadmins 4096 Feb 26 13:36 /var/lib/opsi/depot/hwaudit

Der pcpatch Benutzer (id pcpatch):

Code: Alles auswählen

uid=3000014(CJG-STA\pcpatch) gid=100(users) groups=100(users),999(opsifileadmins),3000014(CJG-STA\pcpatch),3000006(BUILTIN\users)

Der Administrator Benutzer (id Administrator):

Code: Alles auswählen

uid=0(root) gid=0(root) groups=0(root)

Ich verwende Samba 4 als ein AD DC. Ich weiß dass laut der Dokumentation dann ein paar Einstellungen anders sein müssen aber diese Einstellungen habe ich vorgenommen:

Code: Alles auswählen

[opsi_depot]
   available = yes
   comment = opsi depot share (ro)
   path = /var/lib/opsi/depot
   follow symlinks = yes
   writeable = no
   invalid users = root
   acl allow execute always = true

Unten habe ich noch zwei Log Dateien angehängt.

Ich bedanke mich bei jedem der mir helfen kann.

[ThomasT]

Für mich sieht das so aus, als würdest du ein Problem mit der Gruppe opsifileadmins haben, laut samba-log hat der user CJG-STA\pcpatch folgende Gruppenzugehörigkeiten:
groups: 3000014 100 3000018 3000019 3000020 3000021 3000006 3000015

Laut deinem id pcpatch Aufruf gibts da noch die 999(opsifileadmins) , ich vermute auf dieser gid sind auch die Verzeichnisrechte gesetzt. Aber die sind lokal und nicht im AD.

[gunter.software]

Ich habe die Verzeichnisrechte auf eine globale Gruppe gesetzt aber es ist noch immer der gleiche Fehler.

Code: Alles auswählen

sudo stat /var/lib/opsi/depot/hwaudit
  File: /var/lib/opsi/depot/hwaudit
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: fd00h/64768d    Inode: 30684666    Links: 3
Access: (2770/drwxrws---)  Uid: (  997/opsiconfd)   Gid: (3000023/CJG-STA\opsifileadmins)
Access: 2023-05-04 14:54:35.670364720 +0200
Modify: 2023-02-26 13:36:52.273333945 +0100
Change: 2023-05-04 14:54:35.670364720 +0200
 Birth: 2023-02-26 13:36:51.573349159 +0100

[ThomasT]

Hallo kannst du mal ein getfacl hwaudit.opsiscript im Ordner hwaudit machen?

[gunter.software]

Ja aber da bekomme ich auch nicht mehr Infos raus.

Code: Alles auswählen

# file: var/lib/opsi/depot/hwaudit/hwaudit.opsiscript
# owner: opsiconfd
# group: CJG-STA\\opsifileadmins
user::rwx
group::rwx
other::---

[gunter.software]

Ich habe jetzt bei Depot

Code: Alles auswählen

force user = pcpatch

das hat das Problem behoben.