SMB vs NFS4 und Nutzerrechte

Probleme mit Samba, NFS, FTP und Co.
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 05.12.2019 21:34:32

Simaryp hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 07:06:10
Aber wie ich dann sicherstelle, dass die nur auf die ausgewählten Ordner Zugriff haben, weiß ich nicht.
Über Rechtevergabe auf die Ordner, Gruppenzugehörigkeiten der User und Rechtebeschränkung in der smb.conf.

Vielleicht reicht es, um ACL zu umgehen, eventuell nur die Struktur bzw. den Aufbau etwas anders anzulegen. Schau mal hier:

viewtopic.php?f=9&t=169469&p=1172904#p1172904

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 05.12.2019 23:44:22

jph hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 21:02:21
Ich sehe hier mindestens drei Themen:
  • Wie halte ich die Dateien der Nutzer auseinander? Tun es klassische Berechtigungen oder braucht man dafür ACLs?
  • Falls ACL benötigt werden: wie geht man damit unter NFSv4 um?
  • Wie prüft der NFS-Server die Identität des Clients?
Ja und der Wunsch, dass die Dateien konsistent bleiben sollen. Wenn ich eine Datei auf nem Client erstelle und dann auf den Server schiebe, sollen nicht irgendwelche Metadaten verwurschtelt werden. Ich denke wie gesagt, dass die Themen eng verflochten sind.
Ich denke ACL eher nicht. Habe mir mal den Archwiki Artikel dazu durchgelesen. Das klang so, als gäbe es da auch Beschränkungen, wie viele Dateien man mit ACL definieren kann und Performance Probleme usw. Ich glaube, ich komme auch ohne aus, da ich unterhalb der einzelnen Unterordner nicht für einzelne Dateien andere Regeln brauche. Lediglich das Beispiel mit den Fotos ist mir nicht klar. Wenn zwei Clients innerhalb des gleichen Ordners arbeiten können sollen, dann müsste ich ja mindestens ug=rwx setzen. Sonst kann der eine die Dateien des anderen nicht bearbeiten. Aber dann kann ja auch jeder Nutzer der users Gruppe des Servers darauf zugreifen oder?

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 05.12.2019 23:44:44

weshalb hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 21:34:32
Simaryp hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 07:06:10
Aber wie ich dann sicherstelle, dass die nur auf die ausgewählten Ordner Zugriff haben, weiß ich nicht.
Über Rechtevergabe auf die Ordner, Gruppenzugehörigkeiten der User und Rechtebeschränkung in der smb.conf.

Vielleicht reicht es, um ACL zu umgehen, eventuell nur die Struktur bzw. den Aufbau etwas anders anzulegen. Schau mal hier:

viewtopic.php?f=9&t=169469&p=1172904#p1172904
Danke, schaue es mir morgen an.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 10:26:20


TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 11:40:43

Simaryp hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 23:44:22
Wenn zwei Clients innerhalb des gleichen Ordners arbeiten können sollen, dann müsste ich ja mindestens ug=rwx setzen. Sonst kann der eine die Dateien des anderen nicht bearbeiten. Aber dann kann ja auch jeder Nutzer der users Gruppe des Servers darauf zugreifen oder?
Man kann das mit Samba wunderbar begrenzen, dass auf eine Freigabe eine Gruppe lesen darf, eine andere schreiben. Mit simplen "binds" auf dem Sambaserver kann man auch problemlos 2 Mountpoints auf die gleiche physische Ressource einrichten, deren Rechte wiederum kompett unterschiedlich sein können. Man muss nur darauf achten, dass User nicht gleichzeitig in divergierenden Gruppen eingetragen sind.

ALCs sind meiner Meinung nach perfekt geeignet, eine weitestgehend statische Verzeichnis-Klassen-Hierarchie in Unternehmen abzubilden.... vom Hauptabteilungsleister über den Abteilungsleiter, zum Teamleiter, zum Mitarbeiter.... wo dann der Mitarbeiter nur seine Arbeitsumgebung sehen darf... und je weiter es diszipinarisch nach oben geht, um so weitreichender sind die jeweiligen RW-Rechte. Hier bei mir zuhause haben sich die ALCs vor einem anderen Hintergrund als Katastrophe erwiesen. Ich werde die nie wieder einsetzen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 16:51:34

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 11:40:43
ALCs sind meiner Meinung nach perfekt geeignet, eine weitestgehend statische Verzeichnis-Klassen-Hierarchie in Unternehmen abzubilden.... vom Hauptabteilungsleister über den Abteilungsleiter, zum Teamleiter, zum Mitarbeiter.... wo dann der Mitarbeiter nur seine Arbeitsumgebung sehen darf... und je weiter es diszipinarisch nach oben geht, um so weitreichender sind die jeweiligen RW-Rechte. Hier bei mir zuhause haben sich die ALCs vor einem anderen Hintergrund als Katastrophe erwiesen. Ich werde die nie wieder einsetzen.
Wenn es statisch ist, kann man das nicht auch gleich mit einfachen Gruppen/Userrechten auf einer festdefinierten Ordnerstruktur ebenfalls ganz prima erledigen? Die Useranzahl pro Gruppe wird, umso höher man kommt, eben immer kleiner.

Meistens ist es doch eher so, dass man je nach Position nur in bestimmte Ordner mit Recht xyz darf.

Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.

TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:29:30

weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 16:51:34
Wenn es statisch ist, kann man das nicht auch gleich mit einfachen Gruppen/Userrechten auf einer festdefinierten Ordnerstruktur ebenfalls ganz prima erledigen? Die Useranzahl pro Gruppe wird, umso höher man kommt, eben immer kleiner.
Aber allein mit Linuxrechten nur unzureichend, wenn es verschiedene Gruppen-Rechte auf eine Ressource gibt. Wenn überhaupt, dann vielleicht multiple binds, aber da weiss ich gerade gar nicht, ob 'binds' überhaupt eigene Rechte haben können. Ohne Samba und ohne 'binds' geht sowas imho nur mit ACLs.
Meistens ist es doch eher so, dass man je nach Position nur in bestimmte Ordner mit Recht xyz darf.
Ja, stimmt... meistens... im Regelfall sollte man damit klar kommen. Aber wie gesagt, Samba handhabt auch exotische Anforderungen. Das muss man dann von Fall zu Fall abwägen. Für die Frage Samba oder NFS ist allenfalls noch die Frage relevant, ob Windows-Clients auf die Freigabe zugreifen müssen. Ich weiss nicht, ob Windows mittlerweile NFS als Treiber implementiert hat... ist zu lange her bei mir mit Windows, damals ging das jedenfalls nicht. Weiss Du das?
Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.

Soweit ich mich erinnere, haben damals unter Windows Dateien die Rechte des Verzeichnisses geerbt, solange einer Datei nicht explizit eigene Rechte vergeben wurden. Und beim Kopieren/Verschieben der Datei, hat sie einfach die Rechte des neuen Verzeichnisses geerbt, solange sie eben keinen expliziten Rechte mitgebracht hat. Aber auch das ist jetzt eine nur eher vage Erinnerung.... Windows liegt für mich zu lange zurück.... :roll:
Zuletzt geändert von TomL am 06.12.2019 18:33:48, insgesamt 1-mal geändert.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:33:44

Ich habe diesen Thread hier gelesen, in dem TomL schon mal viel geholfen hat: viewtopic.php?t=163818
Die Idee, durch mount --binds die Zugriffe für Samba zu verändern ist schon mal interessant. Allerdings ist es unter umständen immer noch kompliziert, wie ich den Zugriff der Nutzer auf dem Server dann regeln kann.

Diesen Post von weshalb viewtopic.php?t=163818 finde ich auf den ersten Blick noch spannender. Wenn ich einfach für jeden meiner Hauptordner eine extra Gruppe anlege und jeweils die Benutzer die Zugriff haben sollen den Gruppen hinzufüge, dann kann ich mit 770 schon mal erreichen, dass ich selektieren kann, dass nur die gewünschten Nutzer Lesen und schreiben können und das auch auf Dateien, die Ihnen nicht gehören.

Vielleicht mache ich das ganze nochmal etwas konkreter. Ich werde auf dem ZFS-volume unter anderem folgende Ordner haben:
Media, Fotos, Temp, Hänsel und Gretel (Ich hoffe ich finde hier die Brotkrumen wieder ^^).
Es gibt bei mir im Heimnetzwerk zur Zeit zwei natürliche Nutzer, Hänsel und Gretel, dann noch nen HTPC. Auf dem Server brauche ich dann noch einen Nutzer für Dockercontainer. Da bei Docker ja sowieso explizit gemountet werden muss, brauche ich nicht für jeden Dienst nen extra Nutzer. Ich brauche also
die Benutzer Hänsel, Gretel, HTPC und Docker. Hänsel und Gretel sind nur für die Nutzer. Die Rechte kann ich dann wie folgt abbilden:
* Hänsel und Gretel: In den Gruppen Hänsel und Gretel wären nur jeweils diese Benutzer und es wäre egal, ob ich 770 oder 700 mache.
* Media: Wird von Hänsel verwaltet, aber Gretel und Docker sollen lesen können. Wenn ich sicherstelle, dass alle Files und Ordner Hänsel gehören, dann kann ich zur Gruppe Media diese drei Nutzer zufügen und das mit 740 lösen.
* Fotos und Temp: Dürfen Hänsel und Gretel nutzen und sollen auch die Dateien komplett nutzen können. Das erreiche ich, indem ich initial alle Files und Ordner Hänsel zuordne und in den Gruppen Temp und Fotos Hänsel und Gretel sind und die Rechte auf 770 setze.

Lediglich beim Docker für Duplicati müsste ich noch mal überlegen, ob ich dem root zuordne, damit er von allen Files Backups machen kann und die auch zurückspielen kann. Das ganze scheint auf den ersten Blick auch bei weiteren Nutzern (das Kind möchte bestimmt später auch mal was mit Rechnern machen) einfach erweitert werden. Auf dem Server braucht dann eigentlich auch nur der User Docker ein /home, in welches dann die config-Ordner kommen.

Was haltet ihr von der Lösung, habe ich was übersehen? Diese Lösung wäre wahrscheinlich sowohl für NFS, als auch für CIFS eine nutzbare Grundlage oder?

Bezüglich NFS oder CIFS bin ich nicht wirklich weiter gekommen. Wenn ich das NFS absichern möchte, dann muss ich wohl Kerberos nutzen, aber mein Libreelec Rechner kann das gar nicht, wenn ich mich täusche. Suchen nach CIFS/SMB vs NFS bringen bloß die immer gleiche Unterscheidung bei Windows SMB ansonsten NFS.

TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:37:45

Simaryp hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:33:44
Die Idee, durch mount --binds die Zugriffe für Samba zu verändern ist schon mal interessant.
'binds' verändern keine Zugriffsrechte. Das sind im Besten Falle einfach nur (multiple) Mountpoints einer lokalen (!) Ressource. Und die Mountpoints können separat jeweils jeder für sich alleine als eigener Samba-Share freigegeben werden. Und auf jeden Share kann Samba dann eine eigene Rechteverwaltung draufsetzen, die die gesetzten Linux-Rechte aber immer nur beschränken können, aber niemals erweitern oder ignorieren.
Wenn ich einfach für jeden meiner Hauptordner eine extra Gruppe anlege und jeweils die Benutzer die Zugriff haben sollen den Gruppen hinzufüge, dann kann ich mit 770 schon mal erreichen, dass ich selektieren kann, dass nur die gewünschten Nutzer Lesen und schreiben können und das auch auf Dateien, die Ihnen nicht gehören.
Ja, das geht mit Linux-Rechten. Aber damit kannst Du nicht unterscheiden, dass ein Teil der User nur lesen darf und ein anderer Teil der User lesen und schreiben. Wenn das jedoch nicht so wichtig ist, hast Du ja eine Lösung.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:44:33

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:29:30

Ja, stimmt... meistens... im Regelfall sollte man damit klar kommen. Aber wie gesagt, Samba handhabt auch exotische Anforderungen. Das muss man dann von Fall zu Fall abwägen. Für die Frage Samba oder NFS ist allenfalls noch die Frage relevant, ob Windows-Clients auf die Freigabe zugreifen müssen. Ich weiss nicht, ob Windows mittlerweile NFS als Treiber implementiert hat... ist zu lange her bei mir mit Windows, damals ging das jedenfalls nicht. Weiss Du das?
Es gibt Möglichkeiten NFS unter Windows hinzubekommen. Zumindes habe ich davon gelesen, aber nicht OOTB. Dieses alleinige Kriterium habe ich mehrfach gelesen. Aber ich verstehe ehrlich gesagt auch nicht, warum bei reinen Linux-Netzen nicht auch CIFS als Option mitgenannt wird. Es ist natürlich auf den ersten Blick abstrus in einem reinen Linux-Netz für den Dateitransfer einen windosnahen Dienst zu nutzen. Ich bin da aber undogmatisch. Ich will halt gerne ein stabiles System, das sicher ist und mir kein Chaos oder Probleme mit den Dateienrechten und Metadaten erzeugt. Bei NFS habe ich zum Beispiel gelesen, man müsse extrem auf ein zeitliche Synchronisierung der Rechner achten.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.
Ist das der Grund, warum ACLs für dich tot sind? Ich weiß gar nicht, ob Synology das nutzt. Ich sollte mich mal über SSH da einloggen und das anschauen. Generell bin ich ein Freund von KISS, gerade weil ich auch nicht der super Admin mit professionellem Hintergrund bin, sondern nur ein gerüttelt Maß Halbwissen und Technikliebe.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:47:55

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:37:45
Ja, das geht mit Linux-Rechten. Aber damit kannst Du nicht unterscheiden, dass ein Teil der User nur lesen darf und ein anderer Teil der User lesen und schreiben. Wenn das jedoch nicht so wichtig ist, hast Du ja eine Lösung.
Ja, wenn jetzt Docker auch noch Fotos lesen sollte, dann wäre mein System am Ende. Da ich aber wohl niemals eine Lösung finden werde, wie eine Fotosoftware meine Fotos mit inkonsistenten Metadaten verwalten soll, ist das nicht so relevant.

TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:51:29

Simaryp hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:44:33
Es ist natürlich auf den ersten Blick abstrus in einem reinen Linux-Netz für den Dateitransfer einen windosnahen Dienst zu nutzen.
Finde ich nicht. Aber ja, smb ist ein Microsoft-Protokoll und NFS ist eine Linux-Implementierung.
Ich bin da aber undogmatisch. Ich will halt gerne ein stabiles System, das sicher ist und mir kein Chaos oder Probleme mit den Dateienrechten und Metadaten erzeugt.
Ich bin da auch ideologiefrei... zumal samba ja auch Freie Software mit einer GPL-Lizenz ist. Das läuft hier seit Jahren stabil und völlig störungsfrei. Aber ich will da niemanden überzeugen oder missionieren. NFS in Linux-Umgebungen ist sicher eine genauso gute Lösung. Ich habe mich halt da nur noch nicht so richtig mit solchen Rechte-Anforderungen befasst, wie mit NFS unterschiedliche Gruppenrechte für eine bestimmte physische Ressource resp. Plattenverzeichnis zu realisieren wären.
Ist das der Grund, warum ACLs für dich tot sind? Ich weiß gar nicht, ob Synology das nutzt.
Das hat nix mit der Hardware zu tun, sondern mit Prozessteuerung und lokalen logischen Abläufen.... die Hardware ist dabei egal.
Generell bin ich ein Freund von KISS, gerade weil ich auch nicht der super Admin mit professionellem Hintergrund bin, sondern nur ein gerüttelt Maß Halbwissen und Technikliebe.
Me too....

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 20:20:26

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:29:30
weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 16:51:34
Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.

Soweit ich mich erinnere, haben damals unter Windows Dateien die Rechte des Verzeichnisses geerbt, solange einer Datei nicht explizit eigene Rechte vergeben wurden. Und beim Kopieren/Verschieben der Datei, hat sie einfach die Rechte des neuen Verzeichnisses geerbt, solange sie eben keinen expliziten Rechte mitgebracht hat. Aber auch das ist jetzt eine nur eher vage Erinnerung.... Windows liegt für mich zu lange zurück.... :roll:
Deshalb ja erst gar keine ACL's benutzen, sondern die User je nach Privileg selbst für die Dateien entscheiden lassen, da es sich im Allgemeinen eh um passwortgeschützte, definierte Bereiche handelt.

Wenn ein User beispielsweise mit Gruppenrecht auf Ordner A und Ordner B etwas von Ordner A in den Ordner B kopiert, so dass es auch Leute lesen/bearbeiten können, die keine Rechte auf Ordner A haben, dann schätzt er ab diesem Moment schließlich selbst die Richtigkeit für die verschobene Datei ab.

ACL verkompliziert mir einfach zu viel.

TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 20:21:48

weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 20:20:26
ACL verkompliziert mir einfach zu viel.
Das sehe ich auch so.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 07.12.2019 09:09:26

Ok, ich würde mal sagen, die Benutzer, Gruppen und Rechte sind einigermaßen klar. Ein paar konkrete Fragen habe ich noch:
1a. Wenn ich die Nutzer für den externen Daten zugriff anlege, dann brauchen die wirklich kein home oder?
1b. Für den Dockernutzer wäre das mit dem /home die sinnvollste Lösung oder?
2a. Welchen Systemgruppen muss ich die mindesten zuordnen, abgesehen von den Ordnergruppen?
2b. Gleiche Frage für den Dockernutzer.
3. Wie kann ich mit chown und chmod einen initial sinnvollen Zustand für alle Ordner samt Unterordnern und Dateien erreichen?

Wenn ich am Ende ein schönes Skript habe, wie ich meinen Server angelegt habe, dann teile ich das natürlich gerne.

Ich bin auch schon fast entschlossen, dass es wieder Samba wird. Das mit Kerberos scheint mir das ganze doch recht zu verkomplizieren. Wegen der Samba-config, belese ich mich noch einmal und stelle dann noch mal ein paar qualifizierte Fragen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 07.12.2019 10:05:28

Simaryp hat geschrieben: ↑ zum Beitrag ↑
07.12.2019 09:09:26
Ok, ich würde mal sagen, die Benutzer, Gruppen und Rechte sind einigermaßen klar. Ein paar konkrete Fragen habe ich noch:
1a. Wenn ich die Nutzer für den externen Daten zugriff anlege, dann brauchen die wirklich kein home oder?
1b. Für den Dockernutzer wäre das mit dem /home die sinnvollste Lösung oder?
2a. Welchen Systemgruppen muss ich die mindesten zuordnen, abgesehen von den Ordnergruppen?
2b. Gleiche Frage für den Dockernutzer.
3. Wie kann ich mit chown und chmod einen initial sinnvollen Zustand für alle Ordner samt Unterordnern und Dateien erreichen?

Wenn ich am Ende ein schönes Skript habe, wie ich meinen Server angelegt habe, dann teile ich das natürlich gerne.

Ich bin auch schon fast entschlossen, dass es wieder Samba wird. Das mit Kerberos scheint mir das ganze doch recht zu verkomplizieren. Wegen der Samba-config, belese ich mich noch einmal und stelle dann noch mal ein paar qualifizierte Fragen.

Systemgruppen, Dockernutzer mit chown und chmod einen initial sinnvollen Zustand erreichen?

Mhh, ich würde dir vorschlagen, du nimmst erstmal ein Samba Tutorial und fängst an, Ordner so freizugeben, wir du es benötigst. Dann werden sich deine Fragen wahrscheinlich schon in Luft auflösen. Vielleicht hilft dir auch schon der zweite Link, den ich dir geschickt hatte?

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 07.12.2019 10:20:07

Ich meine damit folgendes: Wenn ich auf meinen Clients einen User anlege, mache ich das zur Zeit mit

Code: Alles auswählen

1. `$ useradd -m -G sys,games,power,wheel,audio,video -s /bin/bash "username"` ideally same name as NAS user
2. `$ passwd "username"`
Wenn ich jetzt aber einen Nutzer auf dem Server anlege, nur damit ich meine Shares mounten kann, dann brauche ich ja vermutlich gar nicht alle diese Gruppen, vielleicht sogar gar keine? Dockernutzer wäre halt ein Nutzer, den ich für meine Dockercontainer anlege.

Initial sinnvoller Zustand meint, dass ich das ZFS-Volume vermutlich als Root anlege und dann mit Daten von meinem USB backup befüttere oder aus dem Netzwerk durch ein Mount meiner NAS. Danach ist vlt. Root der Besitzer oder die UIDs der NAS stehen drin, ich weiß es nicht. Um Chaos zu vermeiden, möchte ich dann initial sicherstellen, dass die Rechte alle und Besitzverhältnisse alle richtig gesetzt sind. Also alle Dateien und Ordner eines Pfades gehören einem bestimmten Benutzer. Um evtl. ACL Reste oder Konfigurationen von der Synology NAS nicht zu übernehmen, sollen die Dateien und Ordner sinnvolle default Rechte bekommen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 07.12.2019 11:02:50

Ich kann dir ehrlich gesagt nicht folgen. Die Abfolge ist doch diese:

Anlegen der User und Gruppen auf dem Debianserver
Zuweise der Rechte auf die einzelnen freizugebenen Ordner (Stichwort chown und chmod) auf dem Debianserver
Anlegen der Passwörter in Samba (Stichwort smbpasswd) auf dem Debianserver
Konfiguration der Freigaben innherhalb von Samba (Stichwort smb.conf) auf dem Debianserver
Mounten der Freigaben auf dem Client mittels dem Usernamen und zugehörigem Passwort aus smbpasswd

Bitte lese dir das durch, was ich dir geschickt habe. Ich bin dann erstmal raus.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 07.12.2019 11:10:46

Was da fehlt ist, dass ich ja nicht ohne Daten Anfange, sondern die Daten dann von meinem Synology NAS auf den Debian Server migrieren möchte. Wenn ich die Hauptordner mit den gewünschten Rechten anlege und dann die ganzen Daten von meinem USB-Backup oder über das Netzwerk von der Synology NAS rüber kopiere, dann erben diese Dateien ja nicht automatisch die Besitzer und Rechte des übergeordneten Ordners. Um ein Rechte und Besitzerchaos zu vermeiden, müsste ich doch dann sicher stellen, dass all die migrierten Daten und Unterverzeichnisse die richtigen Setzwerte bekommen.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 07.12.2019 11:53:06

Dann kopiere sie halt rüber und passe, falls die Rechte nicht stimmen, diese mit chmod und chown rekursiv an.....

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 07.12.2019 17:15:12

Ich war mir nicht sicher, ob man da zwischen Ordnern und Dateien differenzieren muss.

Ich habe übrigens mal per SSH in meiner Synology NAS nachgeschaut. Da sind alle Ordner und Dateien 777 und haben ein + für ACL. Habe mal versucht mir das mit getfacl anzuschauen, aber das ging nicht. Vlt. verwaltet die NAS das anders. Ich habe mir auch mal die smb.conf, die smbinfo.conf und die smb.share.conf der NAS kopiert. Das kann ich vielleicht als Referenz nehmen, wenn ich mich durch das manual für die smb.conf durcharbeite.

Tut mir Leid, wenn manche Fragen zu noob sind, ich muss halt noch einiges lernen.

Benutzeravatar
jph
Beiträge: 1049
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von jph » 08.12.2019 14:54:42

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 11:40:43
Hier bei mir zuhause haben sich die ALCs vor einem anderen Hintergrund als Katastrophe erwiesen. Ich werde die nie wieder einsetzen.
Magst du das etwas erläutern?

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 27.01.2020 06:49:04

@TomL

Mich würde auch die Katastrophe interessieren.

TomL

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 27.01.2020 10:43:21

Möglicherweise war das auch ein Bedienungsfehler, aber bei mir war das Ergebnis mit ACLs ein Desaster. Ich würde deswegen einem Anfänger ACL-Rechte erst mal nicht empfehlen.

Das Problem damit ist, dass man damit quasi 2 konkurrierende Rechte-Systeme hat, denn das originäre Linux-Rechte-System lebt ja weiter. Und leider zeigen die Filemanager zum einen ACL-Rechte nicht an, zum zweiten weiß man gar nicht abschließend, ob ein Filemanager oder solche Tools wie DoubleCommander/Krusader oder auch Freefilesync mit oder ohne kopiert. Ein großes Problem war, wenn ich Dateien regulär zwischen Samba-Shares umkopiert habe, z.B. für temporäre Sicherung oder schlichtweg eine Übertragung von einem (für User) privilegierten (RW-) Bereich in einen unprivilegierten (R--). Auf einmal hatten User im neuen Directory Schreib-Rechte (und auch Lösch-Rechte) für Dateien, die sie eigentlich nur lesend öffnen können sollten.

Beim normalen Copy/Move werden die Force-Anweisungen in der smb.conf berücksichtigt und gegebenenfalls neue UID/GID und RWX-Attribute gesetzt, leider bleiben aber die ACLs bleiben davon unberührt. Das bedeutet, man erwartet gesetzte Rechte, die werden aber durch andere Rechte neutralisiert. Ich würde ACLS heute nur noch in Share-Dirs mit quasi statisch vorhandenen Dateien oder neu erstellten und danach am Ort verbleibenden Dateien verwenden, wenn mehrere User darauf zugreifen müssen. Aber das konnte ich ja auch mit force-Anweisungen in der smb.conf erreichen. Sobald aber eine gewisse Bewegungsdynamik zwischen Dateien und Speicherorten besteht, mit begleitenden jeweils anderen Rechten, hat man das kaum noch unter Kontrolle.

ACLs sind imho die perfekte Lösung für in statischen den Usern zugewiesenen Bereichen, wo Dateien einmalig angelegt werden und immer dort verbleiben.. so typische Büro-Abteilungs oder Team-Ordner mit hierarchischen Berechtigungen. Sobald aber Dateien verschoben werden, besteht imho eine hohe Gefahr, dass danach (meistens unentdeckt) die falschen ACL-Rechte gesetzt sind. Bei mir war der Effekt nach längerer Zeit ein unüberschaubares Rechte-Chaos. Ich persönlich komme deutlich besser allein mit Linux-Rechten klar.

Simaryp
Beiträge: 108
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 27.01.2020 19:21:59

Sehr aufschlussreich.
An sich wären ACLs ja eine wirkliche sinnvolle Erweiterung der POSIX Rechte oder sogar besser Ersatz. Doof ist natürlich, wenn es dann zig verschiedene "Standards" gibt, die alle wiederum nicht übersetzbar sind und schnell ein riesiges Chaos entsteht.
Gefühlt brauchte ich persönlich gar keine Rechte auf Dateilevel. Zumindest was Daten angeht, würde es mir eigentlich reichen, für einige Hauptverzeichnisse für die Einzelnen Nutzer eine Zugriffsmatrix auszufüllen, die dann automatisch für alle Dateien und Ordner die darunter liegen gilt. Aber es wird bestimmt gute Gründe geben, warum das niemand so macht. Wahrscheinlich wird sich auch nie viel daran ändern aus Kompatibilitätsgründen.

Antworten