SMB vs NFS4 und Nutzerrechte

Probleme mit Samba, NFS, FTP und Co.
Benutzeravatar
weshalb
Beiträge: 1004
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 05.12.2019 21:34:32

Simaryp hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 07:06:10
Aber wie ich dann sicherstelle, dass die nur auf die ausgewählten Ordner Zugriff haben, weiß ich nicht.
Über Rechtevergabe auf die Ordner, Gruppenzugehörigkeiten der User und Rechtebeschränkung in der smb.conf.

Vielleicht reicht es, um ACL zu umgehen, eventuell nur die Struktur bzw. den Aufbau etwas anders anzulegen. Schau mal hier:

viewtopic.php?f=9&t=169469&p=1172904#p1172904

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 05.12.2019 23:44:22

jph hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 21:02:21
Ich sehe hier mindestens drei Themen:
  • Wie halte ich die Dateien der Nutzer auseinander? Tun es klassische Berechtigungen oder braucht man dafür ACLs?
  • Falls ACL benötigt werden: wie geht man damit unter NFSv4 um?
  • Wie prüft der NFS-Server die Identität des Clients?
Ja und der Wunsch, dass die Dateien konsistent bleiben sollen. Wenn ich eine Datei auf nem Client erstelle und dann auf den Server schiebe, sollen nicht irgendwelche Metadaten verwurschtelt werden. Ich denke wie gesagt, dass die Themen eng verflochten sind.
Ich denke ACL eher nicht. Habe mir mal den Archwiki Artikel dazu durchgelesen. Das klang so, als gäbe es da auch Beschränkungen, wie viele Dateien man mit ACL definieren kann und Performance Probleme usw. Ich glaube, ich komme auch ohne aus, da ich unterhalb der einzelnen Unterordner nicht für einzelne Dateien andere Regeln brauche. Lediglich das Beispiel mit den Fotos ist mir nicht klar. Wenn zwei Clients innerhalb des gleichen Ordners arbeiten können sollen, dann müsste ich ja mindestens ug=rwx setzen. Sonst kann der eine die Dateien des anderen nicht bearbeiten. Aber dann kann ja auch jeder Nutzer der users Gruppe des Servers darauf zugreifen oder?

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 05.12.2019 23:44:44

weshalb hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 21:34:32
Simaryp hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 07:06:10
Aber wie ich dann sicherstelle, dass die nur auf die ausgewählten Ordner Zugriff haben, weiß ich nicht.
Über Rechtevergabe auf die Ordner, Gruppenzugehörigkeiten der User und Rechtebeschränkung in der smb.conf.

Vielleicht reicht es, um ACL zu umgehen, eventuell nur die Struktur bzw. den Aufbau etwas anders anzulegen. Schau mal hier:

viewtopic.php?f=9&t=169469&p=1172904#p1172904
Danke, schaue es mir morgen an.

Benutzeravatar
weshalb
Beiträge: 1004
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 10:26:20


TomL
Beiträge: 5211
Registriert: 24.07.2014 10:56:59

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 11:40:43

Simaryp hat geschrieben: ↑ zum Beitrag ↑
05.12.2019 23:44:22
Wenn zwei Clients innerhalb des gleichen Ordners arbeiten können sollen, dann müsste ich ja mindestens ug=rwx setzen. Sonst kann der eine die Dateien des anderen nicht bearbeiten. Aber dann kann ja auch jeder Nutzer der users Gruppe des Servers darauf zugreifen oder?
Man kann das mit Samba wunderbar begrenzen, dass auf eine Freigabe eine Gruppe lesen darf, eine andere schreiben. Mit simplen "binds" auf dem Sambaserver kann man auch problemlos 2 Mountpoints auf die gleiche physische Ressource einrichten, deren Rechte wiederum kompett unterschiedlich sein können. Man muss nur darauf achten, dass User nicht gleichzeitig in divergierenden Gruppen eingetragen sind.

ALCs sind meiner Meinung nach perfekt geeignet, eine weitestgehend statische Verzeichnis-Klassen-Hierarchie in Unternehmen abzubilden.... vom Hauptabteilungsleister über den Abteilungsleiter, zum Teamleiter, zum Mitarbeiter.... wo dann der Mitarbeiter nur seine Arbeitsumgebung sehen darf... und je weiter es diszipinarisch nach oben geht, um so weitreichender sind die jeweiligen RW-Rechte. Hier bei mir zuhause haben sich die ALCs vor einem anderen Hintergrund als Katastrophe erwiesen. Ich werde die nie wieder einsetzen.
vg, Thomas

Benutzeravatar
weshalb
Beiträge: 1004
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 16:51:34

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 11:40:43
ALCs sind meiner Meinung nach perfekt geeignet, eine weitestgehend statische Verzeichnis-Klassen-Hierarchie in Unternehmen abzubilden.... vom Hauptabteilungsleister über den Abteilungsleiter, zum Teamleiter, zum Mitarbeiter.... wo dann der Mitarbeiter nur seine Arbeitsumgebung sehen darf... und je weiter es diszipinarisch nach oben geht, um so weitreichender sind die jeweiligen RW-Rechte. Hier bei mir zuhause haben sich die ALCs vor einem anderen Hintergrund als Katastrophe erwiesen. Ich werde die nie wieder einsetzen.
Wenn es statisch ist, kann man das nicht auch gleich mit einfachen Gruppen/Userrechten auf einer festdefinierten Ordnerstruktur ebenfalls ganz prima erledigen? Die Useranzahl pro Gruppe wird, umso höher man kommt, eben immer kleiner.

Meistens ist es doch eher so, dass man je nach Position nur in bestimmte Ordner mit Recht xyz darf.

Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.

TomL
Beiträge: 5211
Registriert: 24.07.2014 10:56:59

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:29:30

weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 16:51:34
Wenn es statisch ist, kann man das nicht auch gleich mit einfachen Gruppen/Userrechten auf einer festdefinierten Ordnerstruktur ebenfalls ganz prima erledigen? Die Useranzahl pro Gruppe wird, umso höher man kommt, eben immer kleiner.
Aber allein mit Linuxrechten nur unzureichend, wenn es verschiedene Gruppen-Rechte auf eine Ressource gibt. Wenn überhaupt, dann vielleicht multiple binds, aber da weiss ich gerade gar nicht, ob 'binds' überhaupt eigene Rechte haben können. Ohne Samba und ohne 'binds' geht sowas imho nur mit ACLs.
Meistens ist es doch eher so, dass man je nach Position nur in bestimmte Ordner mit Recht xyz darf.
Ja, stimmt... meistens... im Regelfall sollte man damit klar kommen. Aber wie gesagt, Samba handhabt auch exotische Anforderungen. Das muss man dann von Fall zu Fall abwägen. Für die Frage Samba oder NFS ist allenfalls noch die Frage relevant, ob Windows-Clients auf die Freigabe zugreifen müssen. Ich weiss nicht, ob Windows mittlerweile NFS als Treiber implementiert hat... ist zu lange her bei mir mit Windows, damals ging das jedenfalls nicht. Weiss Du das?
Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.

Soweit ich mich erinnere, haben damals unter Windows Dateien die Rechte des Verzeichnisses geerbt, solange einer Datei nicht explizit eigene Rechte vergeben wurden. Und beim Kopieren/Verschieben der Datei, hat sie einfach die Rechte des neuen Verzeichnisses geerbt, solange sie eben keinen expliziten Rechte mitgebracht hat. Aber auch das ist jetzt eine nur eher vage Erinnerung.... Windows liegt für mich zu lange zurück.... :roll:
Zuletzt geändert von TomL am 06.12.2019 18:33:48, insgesamt 1-mal geändert.
vg, Thomas

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:33:44

Ich habe diesen Thread hier gelesen, in dem TomL schon mal viel geholfen hat: viewtopic.php?t=163818
Die Idee, durch mount --binds die Zugriffe für Samba zu verändern ist schon mal interessant. Allerdings ist es unter umständen immer noch kompliziert, wie ich den Zugriff der Nutzer auf dem Server dann regeln kann.

Diesen Post von weshalb viewtopic.php?t=163818 finde ich auf den ersten Blick noch spannender. Wenn ich einfach für jeden meiner Hauptordner eine extra Gruppe anlege und jeweils die Benutzer die Zugriff haben sollen den Gruppen hinzufüge, dann kann ich mit 770 schon mal erreichen, dass ich selektieren kann, dass nur die gewünschten Nutzer Lesen und schreiben können und das auch auf Dateien, die Ihnen nicht gehören.

Vielleicht mache ich das ganze nochmal etwas konkreter. Ich werde auf dem ZFS-volume unter anderem folgende Ordner haben:
Media, Fotos, Temp, Hänsel und Gretel (Ich hoffe ich finde hier die Brotkrumen wieder ^^).
Es gibt bei mir im Heimnetzwerk zur Zeit zwei natürliche Nutzer, Hänsel und Gretel, dann noch nen HTPC. Auf dem Server brauche ich dann noch einen Nutzer für Dockercontainer. Da bei Docker ja sowieso explizit gemountet werden muss, brauche ich nicht für jeden Dienst nen extra Nutzer. Ich brauche also
die Benutzer Hänsel, Gretel, HTPC und Docker. Hänsel und Gretel sind nur für die Nutzer. Die Rechte kann ich dann wie folgt abbilden:
* Hänsel und Gretel: In den Gruppen Hänsel und Gretel wären nur jeweils diese Benutzer und es wäre egal, ob ich 770 oder 700 mache.
* Media: Wird von Hänsel verwaltet, aber Gretel und Docker sollen lesen können. Wenn ich sicherstelle, dass alle Files und Ordner Hänsel gehören, dann kann ich zur Gruppe Media diese drei Nutzer zufügen und das mit 740 lösen.
* Fotos und Temp: Dürfen Hänsel und Gretel nutzen und sollen auch die Dateien komplett nutzen können. Das erreiche ich, indem ich initial alle Files und Ordner Hänsel zuordne und in den Gruppen Temp und Fotos Hänsel und Gretel sind und die Rechte auf 770 setze.

Lediglich beim Docker für Duplicati müsste ich noch mal überlegen, ob ich dem root zuordne, damit er von allen Files Backups machen kann und die auch zurückspielen kann. Das ganze scheint auf den ersten Blick auch bei weiteren Nutzern (das Kind möchte bestimmt später auch mal was mit Rechnern machen) einfach erweitert werden. Auf dem Server braucht dann eigentlich auch nur der User Docker ein /home, in welches dann die config-Ordner kommen.

Was haltet ihr von der Lösung, habe ich was übersehen? Diese Lösung wäre wahrscheinlich sowohl für NFS, als auch für CIFS eine nutzbare Grundlage oder?

Bezüglich NFS oder CIFS bin ich nicht wirklich weiter gekommen. Wenn ich das NFS absichern möchte, dann muss ich wohl Kerberos nutzen, aber mein Libreelec Rechner kann das gar nicht, wenn ich mich täusche. Suchen nach CIFS/SMB vs NFS bringen bloß die immer gleiche Unterscheidung bei Windows SMB ansonsten NFS.

TomL
Beiträge: 5211
Registriert: 24.07.2014 10:56:59

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:37:45

Simaryp hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:33:44
Die Idee, durch mount --binds die Zugriffe für Samba zu verändern ist schon mal interessant.
'binds' verändern keine Zugriffsrechte. Das sind im Besten Falle einfach nur (multiple) Mountpoints einer lokalen (!) Ressource. Und die Mountpoints können separat jeweils jeder für sich alleine als eigener Samba-Share freigegeben werden. Und auf jeden Share kann Samba dann eine eigene Rechteverwaltung draufsetzen, die die gesetzten Linux-Rechte aber immer nur beschränken können, aber niemals erweitern oder ignorieren.
Wenn ich einfach für jeden meiner Hauptordner eine extra Gruppe anlege und jeweils die Benutzer die Zugriff haben sollen den Gruppen hinzufüge, dann kann ich mit 770 schon mal erreichen, dass ich selektieren kann, dass nur die gewünschten Nutzer Lesen und schreiben können und das auch auf Dateien, die Ihnen nicht gehören.
Ja, das geht mit Linux-Rechten. Aber damit kannst Du nicht unterscheiden, dass ein Teil der User nur lesen darf und ein anderer Teil der User lesen und schreiben. Wenn das jedoch nicht so wichtig ist, hast Du ja eine Lösung.
vg, Thomas

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:44:33

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:29:30

Ja, stimmt... meistens... im Regelfall sollte man damit klar kommen. Aber wie gesagt, Samba handhabt auch exotische Anforderungen. Das muss man dann von Fall zu Fall abwägen. Für die Frage Samba oder NFS ist allenfalls noch die Frage relevant, ob Windows-Clients auf die Freigabe zugreifen müssen. Ich weiss nicht, ob Windows mittlerweile NFS als Treiber implementiert hat... ist zu lange her bei mir mit Windows, damals ging das jedenfalls nicht. Weiss Du das?
Es gibt Möglichkeiten NFS unter Windows hinzubekommen. Zumindes habe ich davon gelesen, aber nicht OOTB. Dieses alleinige Kriterium habe ich mehrfach gelesen. Aber ich verstehe ehrlich gesagt auch nicht, warum bei reinen Linux-Netzen nicht auch CIFS als Option mitgenannt wird. Es ist natürlich auf den ersten Blick abstrus in einem reinen Linux-Netz für den Dateitransfer einen windosnahen Dienst zu nutzen. Ich bin da aber undogmatisch. Ich will halt gerne ein stabiles System, das sicher ist und mir kein Chaos oder Probleme mit den Dateienrechten und Metadaten erzeugt. Bei NFS habe ich zum Beispiel gelesen, man müsse extrem auf ein zeitliche Synchronisierung der Rechner achten.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.
Ist das der Grund, warum ACLs für dich tot sind? Ich weiß gar nicht, ob Synology das nutzt. Ich sollte mich mal über SSH da einloggen und das anschauen. Generell bin ich ein Freund von KISS, gerade weil ich auch nicht der super Admin mit professionellem Hintergrund bin, sondern nur ein gerüttelt Maß Halbwissen und Technikliebe.

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 06.12.2019 18:47:55

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:37:45
Ja, das geht mit Linux-Rechten. Aber damit kannst Du nicht unterscheiden, dass ein Teil der User nur lesen darf und ein anderer Teil der User lesen und schreiben. Wenn das jedoch nicht so wichtig ist, hast Du ja eine Lösung.
Ja, wenn jetzt Docker auch noch Fotos lesen sollte, dann wäre mein System am Ende. Da ich aber wohl niemals eine Lösung finden werde, wie eine Fotosoftware meine Fotos mit inkonsistenten Metadaten verwalten soll, ist das nicht so relevant.

TomL
Beiträge: 5211
Registriert: 24.07.2014 10:56:59

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 18:51:29

Simaryp hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:44:33
Es ist natürlich auf den ersten Blick abstrus in einem reinen Linux-Netz für den Dateitransfer einen windosnahen Dienst zu nutzen.
Finde ich nicht. Aber ja, smb ist ein Microsoft-Protokoll und NFS ist eine Linux-Implementierung.
Ich bin da aber undogmatisch. Ich will halt gerne ein stabiles System, das sicher ist und mir kein Chaos oder Probleme mit den Dateienrechten und Metadaten erzeugt.
Ich bin da auch ideologiefrei... zumal samba ja auch Freie Software mit einer GPL-Lizenz ist. Das läuft hier seit Jahren stabil und völlig störungsfrei. Aber ich will da niemanden überzeugen oder missionieren. NFS in Linux-Umgebungen ist sicher eine genauso gute Lösung. Ich habe mich halt da nur noch nicht so richtig mit solchen Rechte-Anforderungen befasst, wie mit NFS unterschiedliche Gruppenrechte für eine bestimmte physische Ressource resp. Plattenverzeichnis zu realisieren wären.
Ist das der Grund, warum ACLs für dich tot sind? Ich weiß gar nicht, ob Synology das nutzt.
Das hat nix mit der Hardware zu tun, sondern mit Prozessteuerung und lokalen logischen Abläufen.... die Hardware ist dabei egal.
Generell bin ich ein Freund von KISS, gerade weil ich auch nicht der super Admin mit professionellem Hintergrund bin, sondern nur ein gerüttelt Maß Halbwissen und Technikliebe.
Me too....
vg, Thomas

Benutzeravatar
weshalb
Beiträge: 1004
Registriert: 16.05.2012 14:19:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von weshalb » 06.12.2019 20:20:26

TomL hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 18:29:30
weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 16:51:34
Das wird selbst auf den mir bekannten MS Servern so gehandhabt und so sehr fein runtergebrochene Userrechte sind mir tatsächlich noch nicht untergekommen.
Ich hatte das Problem beim automatischen Verschieben von Dateien.... aus einem Verzeichnis mit Änderungsrecht in eines mit Nur-lesen-Recht. Da wurden die ACLs mitkopiert, was in einem Zeitraum zu einem Integritäts-Verlust eines gewissen Datenstandes geführt hat.. da wurde geändert, was nicht geändert werden durfte, weil die ACLs das quasi versteckt erlaubt haben. Wie gesagt, für alles "statisch am ort" sind ACLs sicher eine gute Wahl.... hier bei mir ging das jedoch gar nicht.

Soweit ich mich erinnere, haben damals unter Windows Dateien die Rechte des Verzeichnisses geerbt, solange einer Datei nicht explizit eigene Rechte vergeben wurden. Und beim Kopieren/Verschieben der Datei, hat sie einfach die Rechte des neuen Verzeichnisses geerbt, solange sie eben keinen expliziten Rechte mitgebracht hat. Aber auch das ist jetzt eine nur eher vage Erinnerung.... Windows liegt für mich zu lange zurück.... :roll:
Deshalb ja erst gar keine ACL's benutzen, sondern die User je nach Privileg selbst für die Dateien entscheiden lassen, da es sich im Allgemeinen eh um passwortgeschützte, definierte Bereiche handelt.

Wenn ein User beispielsweise mit Gruppenrecht auf Ordner A und Ordner B etwas von Ordner A in den Ordner B kopiert, so dass es auch Leute lesen/bearbeiten können, die keine Rechte auf Ordner A haben, dann schätzt er ab diesem Moment schließlich selbst die Richtigkeit für die verschobene Datei ab.

ACL verkompliziert mir einfach zu viel.

TomL
Beiträge: 5211
Registriert: 24.07.2014 10:56:59

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von TomL » 06.12.2019 20:21:48

weshalb hat geschrieben: ↑ zum Beitrag ↑
06.12.2019 20:20:26
ACL verkompliziert mir einfach zu viel.
Das sehe ich auch so.
vg, Thomas

Simaryp
Beiträge: 86
Registriert: 29.11.2019 14:09:49

Re: SMB vs NFS4 und Nutzerrechte

Beitrag von Simaryp » 07.12.2019 09:09:26

Ok, ich würde mal sagen, die Benutzer, Gruppen und Rechte sind einigermaßen klar. Ein paar konkrete Fragen habe ich noch:
1a. Wenn ich die Nutzer für den externen Daten zugriff anlege, dann brauchen die wirklich kein home oder?
1b. Für den Dockernutzer wäre das mit dem /home die sinnvollste Lösung oder?
2a. Welchen Systemgruppen muss ich die mindesten zuordnen, abgesehen von den Ordnergruppen?
2b. Gleiche Frage für den Dockernutzer.
3. Wie kann ich mit chown und chmod einen initial sinnvollen Zustand für alle Ordner samt Unterordnern und Dateien erreichen?

Wenn ich am Ende ein schönes Skript habe, wie ich meinen Server angelegt habe, dann teile ich das natürlich gerne.

Ich bin auch schon fast entschlossen, dass es wieder Samba wird. Das mit Kerberos scheint mir das ganze doch recht zu verkomplizieren. Wegen der Samba-config, belese ich mich noch einmal und stelle dann noch mal ein paar qualifizierte Fragen.

Antworten