Ich habe diesen Thread hier gelesen, in dem TomL schon mal viel geholfen hat:
viewtopic.php?t=163818
Die Idee, durch mount --binds die Zugriffe für Samba zu verändern ist schon mal interessant. Allerdings ist es unter umständen immer noch kompliziert, wie ich den Zugriff der Nutzer auf dem Server dann regeln kann.
Diesen Post von weshalb
viewtopic.php?t=163818 finde ich auf den ersten Blick noch spannender. Wenn ich einfach für jeden meiner Hauptordner eine extra Gruppe anlege und jeweils die Benutzer die Zugriff haben sollen den Gruppen hinzufüge, dann kann ich mit 770 schon mal erreichen, dass ich selektieren kann, dass nur die gewünschten Nutzer Lesen und schreiben können und das auch auf Dateien, die Ihnen nicht gehören.
Vielleicht mache ich das ganze nochmal etwas konkreter. Ich werde auf dem ZFS-volume unter anderem folgende Ordner haben:
Media, Fotos, Temp, Hänsel und Gretel (Ich hoffe ich finde hier die Brotkrumen wieder ^^).
Es gibt bei mir im Heimnetzwerk zur Zeit zwei natürliche Nutzer, Hänsel und Gretel, dann noch nen HTPC. Auf dem Server brauche ich dann noch einen Nutzer für Dockercontainer. Da bei Docker ja sowieso explizit gemountet werden muss, brauche ich nicht für jeden Dienst nen extra Nutzer. Ich brauche also
die Benutzer Hänsel, Gretel, HTPC und Docker. Hänsel und Gretel sind nur für die Nutzer. Die Rechte kann ich dann wie folgt abbilden:
* Hänsel und Gretel: In den Gruppen Hänsel und Gretel wären nur jeweils diese Benutzer und es wäre egal, ob ich 770 oder 700 mache.
* Media: Wird von Hänsel verwaltet, aber Gretel und Docker sollen lesen können. Wenn ich sicherstelle, dass alle Files und Ordner Hänsel gehören, dann kann ich zur Gruppe Media diese drei Nutzer zufügen und das mit 740 lösen.
* Fotos und Temp: Dürfen Hänsel und Gretel nutzen und sollen auch die Dateien komplett nutzen können. Das erreiche ich, indem ich initial alle Files und Ordner Hänsel zuordne und in den Gruppen Temp und Fotos Hänsel und Gretel sind und die Rechte auf 770 setze.
Lediglich beim Docker für Duplicati müsste ich noch mal überlegen, ob ich dem root zuordne, damit er von allen Files Backups machen kann und die auch zurückspielen kann. Das ganze scheint auf den ersten Blick auch bei weiteren Nutzern (das Kind möchte bestimmt später auch mal was mit Rechnern machen) einfach erweitert werden. Auf dem Server braucht dann eigentlich auch nur der User Docker ein /home, in welches dann die config-Ordner kommen.
Was haltet ihr von der Lösung, habe ich was übersehen? Diese Lösung wäre wahrscheinlich sowohl für NFS, als auch für CIFS eine nutzbare Grundlage oder?
Bezüglich NFS oder CIFS bin ich nicht wirklich weiter gekommen. Wenn ich das NFS absichern möchte, dann muss ich wohl Kerberos nutzen, aber mein Libreelec Rechner kann das gar nicht, wenn ich mich täusche. Suchen nach CIFS/SMB vs NFS bringen bloß die immer gleiche Unterscheidung bei Windows SMB ansonsten NFS.