smbcacls — Setzt oder holt ACLs einer NT-Datei oder eines Verzeichnisses.
smbcacls {//server/share} {Dateiname} [-D acls] [-M acls] [-a acls] [-S acls] [-C Name] [-G Name] [-n] [-t] [-U Benutzername] [-h] [-d]
Dieses Werkzeug ist Teil der Samba(7)-Suite.
Das Programm smbcacls manipuliert NT-Access Control Lists (ACLs) auf SMB-Dateifreigaben.
Folgende Optionen sind für das Programm smbcacls verfügbar. Das Format der ACLs wird im Abschnitt ACL-FORMAT beschrieben.
Fügt angegebene ACLs zur ACL-Liste hinzu. Vorhandene ACL-Einträge bleiben unverändert.
Verändert die Maske (die Rechte) für die auf der Kommandozeile angegebenen ACLs. Bei jeder angegebenen ACL, die nicht schon in der Liste vorhanden war, wird ein Fehler ausgegeben.
Löscht alle in der Kommandozeile angegebenen ACLs. Bei jeder angegebenen ACL, die nicht schon in der Liste vorhanden war, wird ein Fehler ausgegeben.
Dieser Befehl setzt die ACLs der aktuellen Datei auf exakt diejenigen, die in der Kommandozeile angegebenen werden. Alle andere ACLs werden gelöscht. Beachten Sie, dass die angegebene ACL mindestens die Felder Revision, Typ, Besitzer und Gruppe enthalten muss, damit dieser Aufruf erfolgreich ist.
Gibt einen Benutzernamen an, mit dem eine Verbindung zum angegebenen Dienst hergestellt wird. Der Benutzername darf die Form "Benutzername" haben, wobei der Benutzer dann nach einem Passwort gefragt wird und dann die Arbeitsgruppe verwendet wird, die in smb.conf(5) angegeben ist, oder "Benutzername%Passwort" oder "DOMAIN\Benutzername%Passwort", wobei dann die angegebenen Daten für Passwort und Arbeitsgruppe verwendet werden.
Mit dieser Option kann der Besitzer einer Datei oder eines Verzeichnisses auf den angegebenen Namen geändert werden. Der Name kann eine SID in der Form S-1-x-y-z sein, oder ein Name, der mit dem Server aufgelöst wird, der im ersten Argument angegeben wird.
Dieser Befehl ist eine Abkürzung für -M OWNER:Name.
Mit dieser Option kann der Gruppenbesitzer einer Datei oder eines Verzeichnisses auf den angegebenen Namen geändert werden. Der Name kann eine SID in der Form S-1-x-y-z sein, oder ein Name, der mit dem Server aufgelöst wird, der im ersten Argument angegeben wird.
Dieser Befehl ist eine Abkürzung für -M GROUP:Name.
Diese Option zeigt alle ACL-Informationen in einem numerischen Format an. Standardmäßig werden SIDs in Namen konvertiert und ACE-Typen und -Masken werden in ein lesbares Stringformat konvertiert.
Macht eigentlich nichts, ausser die Argumente auf ihre Korrektheit zu prüfen.
Gibt eine Zusammenfassung der Kommandozeilenoptionen aus.
Gibt die Versionsnummer des Programms aus.
Die angegebene Datei enthält die Konfigurationdetails, die der Server benötigt. Die Information in dieser Datei ist zum Teil Server-spezifisch, z.B. welche printcap-Datei benutzt werden soll, enthält aber auch Beschreibungen aller Dienste, die der Server anbieten soll. Siehe smb.conf für weitere Informationen. Der Standardname der Konfigurationsdatei wird beim Kompilieren bestimmt.
Debug-Ebene ist ein Integer von 0 bis 10. Falls dieser Parameter nicht angegeben wird, ist der Vorgabewert dafür Null.
Je höher der Wert ist, desto mehr Details über die Serveraktivität werden in den Log-Dateien abgespeichert. Auf der Ebene 0 werden nur kritische Fehler und ernstzunehmende Warnungen geloggt. Ebene 1 ist eine vernünftige Ebene beim alltäglichen Betrieb - dabei wird eine kleine Informationsmenge über die ausgeführten Operationen erzeugt.
Die Ebenen höher als 1 erzeugen beachtliche Mengen von Logdaten, und sollten nur bei der Suche nach Problemen verwendet werden. Die Ebenen größer als 3 sind nur für Entwickler gedacht und erzeugen RIESIGE Mengen an Logdaten, von denen die meisten extrem kryptisch sind.
Beachten Sie, dass durch die Angabe dieses Parameters an dieser Stelle der Parameter log level in der Datei smb.conf überschrieben wird.
Dateiname für Log-/Debug-Dateien. Die Dateierweiterung ".client" wird angefügt. Die Log-Datei wird vom Client niemals entfernt.
Das Format einer ACL besteht aus einem oder mehreren ACL-Einträgen, getrennt durch Kommata oder Zeilenumbrüche. Ein ACL-Eintrag hat eine der folgenden Formen:
REVISION:<revisionsnummer> OWNER:<sid oder name> GROUP:<sid oder name> ACL:<sid oder name>:<type>/<flags>/<mask>
Die Revision der ACL gibt die interne Windows NT-ACL-Revision für den Security-Deskriptor an. Wenn nicht angegeben, wird der Vorgabewert 1 verwendet. Die Benutzung anderer Werte als 1 kann zu seltsamem Verhalten führen.
Die Angaben zu Besitzer und Gruppe geben die Besitzer- und Gruppen-SIDs des Objekts an. Wenn eine SID im Format CWS-1-x-y-z angegeben wird, wird sie benutzt, sonst wird der angegebene Name mit Hilfe des Servers aufgelöst, auf dem die Datei oder das Verzeichnis liegt.
ACLs geben Rechte an der SID an. Diese SID kann ihrerseits im Format CWS-1-x-y-z oder als Name angegeben werden. Im letzteren Fall wird der angegebene Name mit Hilfe des Servers aufgelöst, auf dem die Datei oder das Verzeichnis liegt. Die Werte für Typ, Flags und Maske bestimmen die Art des auf die SID genehmigten Zugriffs.
Der Typ kann entweder 0 oder 1 für ERLAUBTEN oder VERWEIGERTEN Zugriff auf die SID sein. Die Flagwerte sind im Allgemeinen Null bei Datei-ACLs und entweder 9 oder 2 bei Verzeichnis-ACLs. Einige häufige Flags sind:
#define SEC_ACE_FLAG_OBJECT_INHERIT 0x1
#define SEC_ACE_FLAG_CONTAINER_INHERIT 0x2
#define SEC_ACE_FLAG_NO_PROPAGATE_INHERIT 0x4
#define SEC_ACE_FLAG_INHERIT_ONLY 0x8
Momentan können Flags nur als Dezimal- oder Hexadezimalwerte angegeben werden.
Die Maske ist ein Wert, der das Zugriffsrecht an der SID ausdrückt. Sie kann als Dezimal- oder Hexadezimalwert angegeben werden oder unter Verwendung eines der folgenden Textstrings, die auf die gleichnamigen NT-Dateirechte abgebildet werden.
R - Erlaube Lesezugriff
W - Erlaube Schreibzugriff
X - Ausführungsrecht am Objekt
D - Lösche das Objekt
P - Änderungsrechte
O - Übernehme Besitzerrechte
Folgende kombinierte Rechte können angegeben werden:
READ - äquivalent zu 'RX'-Rechten
CHANGE - äquivalent zu 'RXWD'-Rechten
FULL - äquivalent zu 'RWXDPO'-Rechten
Das Programm smbcacls setzt den Exitstatus in Abhängigkiet vom Erfolg oder anderen Ergebnissen der ausgeführten Operationen. Der Exitstatus kann einen der folgenden Werte annehmen:
Bei erfolgreicher Operation gibt smbcacls einen Exitstatus von 0 zurück. Falls smbcacls keine Verbindung zum angegebenen Server herstellen konnte oder falls es beim Abfragen oder Setzen der ACLs einen Fehler gab, wird der Exitstatus 1 zurückgegeben. Falls beim Parsen irgendeines Kommandozeilenarguments ein Fehler auftrat, wird der Exitstatus 2 zurückgegeben.
Diese Manpage ist korrekt für die Version 3.0 der Samba-Suite.
Die originale Samba-Software und die zugehörigen Werkzeuge wurden von Andrew Tridgell geschrieben. Samba wird nun vom Samba-Team als ein Open-Source-Projekt entwickelt, ähnlich wie der Linux-Kernel.
smbcacls wurde von Andrew Tridgell und Tim Potter geschrieben.
Die Umwandlung ins DocBook-Format wurde von Gerald Carter für Samba 2.2 durchgeführt. Die Umwandlung in DocBook für XML 4.2 wurde von Alexander Bokovoy für Samba 3.0 durchgeführt.