Windowsfreigaben - Benutzer & Gruppen

[Mave]

Hallo zusammen,

nachdem ich jetzt die letzten vier Tage versucht habe mich durch lesen, lesen und nochmals lesen in das Thema "Windowsfreigaben" einzuarbeiten jedoch irgendwie noch einen "Denkknoten" besitze möchte ich meine Frage bzw. Wunsch hier in diesem Thread formulieren. Evtl. könnt ihr mir ja "DAU-Sicher" das (richtige) vorgehen erläutern?!

Zuerst evtl. etwas Backround, ich unternahm im Jahre 2009 mal erste gehversuche mit dem damaligen FreeNAS... kaufte mir Hardware (Asus-Board mit einem kleinen Prozessor und leider nur 2GB Ram...) und experementierte etwas herum. Dabei stellte sich dann recht schnell heraus, dass meine damaligen Anforderungen aber eher durch einen "Windows-Server" gedeckt werden als durch ein NAS-System. In den letzten Jahren benötigte ich dann doch ein NAS und durch Empfehlung und Einrichtungshilfe gab es dann eine kleine QNAP (mit zwei Festplatten).
So vier Jahre später und einem deutlich größeren Datenvolumen welches abgelegt werden sollte/ muss, stehe ich nun vor der Entscheidung meine Hardware aus 2009 zu reaktivieren und dabei das neue NAS4Free zu nehmen oder aber ca. 800 Euro für ein QNAP-System ausgeben... TJA eigentlich würde ich mich gerne für N4F entscheiden, gerade unter dem Aspekt dass ich damit unabhängiger bin von der Anzahl der Platten, besseres Dateisystem, ...
OK, es ist mir bewusst, dass ich über kurz oder lang auch bei N4F in neuere Hardware investieren muss. Diese ist eigentlich auch schon geplant nur das Geld reicht eben noch nicht.

So laaaannngggeee Rede kurzer Sinn, meine Frage nun lautet: Wie richte ich die Windowsfreigaben (CIFS/SMB) richtig ein???

Ich kenne leider bis jetzt nur den Weg bei Qnap, der geht wie folgt:
a) Gruppe anlegen (am besten für jeden Freigabeordner eine)
b) User anlegen und diesen dann n Gruppen zuweisen (eben ganz danach in welcher Gruppe er Mitglied sein soll)
c) Ordner auf dem Laufwerk anlegen
d) die Freigabe für einen Ordner einstellen (sprich wer hat welche Berechtigung bei der Freigabe - Ich habe im Anhang mal einen Screenshot von meiner Qnap gemacht wo ich die Freigabe für einen Ordner "Multimedia" eingestellt habe)

sooo und das habe ich jetzt auch auf der N4F versucht, Punkt a-c funktionierten noch, jedoch bei Punkt d steige ich gedanklich irgendwie noch nicht ganz durch wie ich das machen muss??

Kann mir hier evtl. jemand helfen und mir etwas auf die Sprünge helfen?? ODER muss ich die ganze Sache ganz anders angehen???

Über hilfen jeglicher Art würde ich mich sehr freuen!
cu Mave

[seller]

Hi MAVE
guckstduhier
http://www.ralmar.lu/Docs/HowTo%20-%20S ... hritte.pdf

Gruß
seller

[Mave]

@seller

danke für deine Antwort, diese Anleitung hatte ich glaube ich schonmal gesehen - egal - jetzt habe ich sie mir nochmals genau durchgelesen ABER ich stehe immernoch auf dem Schlauch... ich bekomme die handbremse einfach nicht gelöst....

ok evtl. etwas ausführlicher mein Szenario (welches mich gedanklich etwas blockiert - ich glaube ich bin noch zu sehr in der QNAP Welt??)
1) ich habe 3x Gruppen mit verschiedenen bzw. evlt. auch gleichen Mitgliedern (nennen wir sie jetzt einfach mal - Geschäftsführung, Einkauf, Verkauf)
2) ich habe 3x Ordner für jeden Bereich einen (GF, EK, VK)
3) die Freigaben sollten so aussehen:
Ordner GF: Es soll NUR die Geschäftsführung darauf Zugiff haben => ist "einfach" - eine Freigabe auf diesen Ordner erstellen mit Besitzer (z.B. admin) und der Gruppe (Geschäftsführung), fertig.

Ordner EK: Es soll der Einkauf Lese- & Schreib-Zugriffsrechte haben, die Geschäftsführer-Gruppe soll Lese-Zugriffsrechte bekommen und der Verkauf keine Rechte.
=> So und genau hier steige ich glaube ich aus. Wie in meinem Screenshot oben zu sehen, ist dies bei QNAP recht einfach möglich aber wie löse ich das nun bei NAS4Free???
Muss ich verschiedene Freigaben auf einen Ordner machen (einmal eine Freigabe für die Geschäftsführung mit Ihren Rechten und dann eine seperate Freigabe mit den Rechten für den Einkauf auf den selben Ordner), geht das überhaupt??

Für den Ordner VK wäre es dann wie für den Ordner EK nur eben mit der Gruppe Verkauf anstatt Einkauf.

Sprich eigentlich möchte ich wissen, wie kann ich auf einen Ordner verschiedenen Gruppen verschiedene Rechte geben?? - es muss ja auch nicht unbedingt die "einfache" Klick-Seite wie bei einer QNAP sein

Danke für Eure hilfen ...

[seller]

Hi mave,
Lege doch erstmal drei gruppen an mit deinen bezeichnungen
Dann legst du für jedn user eine grupe an
Und gann weisst du in der zuordnung der laufwerke die laufwerke den jeweilgen usern zu du kannst hier mehrere auswählen.
Gruß
Seller

[Mave]

Hi seller,

Lege doch erstmal drei gruppen an mit deinen bezeichnungen
Dann legst du für jedn user eine grupe an

-> i.O. erledigt (siehe Dateianhang)

Und gann weisst du in der zuordnung der laufwerke die laufwerke den jeweilgen usern zu du kannst hier mehrere auswählen.

Sorry aber hier steige ich leider aus, kenne mich noch nicht soo gut aus, unter welchem Punkt von N4F finde ich das "Zuordnung der Laufwerke - Laufwerke Usern zuordnen" ???
OK ich kenne zwar noch nicht das dortige Menü bzw. die Optionen aber wenn ich dort dann nur User zuweisen kann, warum sollte ich dann Gruppen anlegen?

Danke und cu Mave

[Princo]

Das, was dir dein Qnap da anbietet, gibt es unter der grafischen Oberfläche von NAS4Free leider (noch) nicht.
Das bedeutet natürlich nicht, daß es mit N4F gar nicht geht.
Natürlich geht das, nur halt nicht komplett per grafischer Oberflache.

Lege per Web-Gui die Gruppen GF, EK, VK an.

Für die nachfolgenden Ausführungen gilt folgendes: Ich beziehe ich auf eine ZFS-Konfiguration des Systems mit englischer Spracheinstellung der Web-Gui.

Wir brauchen jetzt zwei Dateibereiche,: einen für die Benutzerverzeichnisse, und dann den für die eigentliche Dateiablage. Auch wenn wir die Benutzerverzeichnisse an dieser Stelle eigentlich gar nicht benötigen, ist es sehr sinnvoll, diese dennoch anzulegen.

Das Ganze realisieren wir über zwei Datasets (ZFS-only).

Sämtliche Kofigurationsschritte lassen sich über Advanced|Execute command durchführen!
Wir brauchen zwei Datasets:

Mein Pool heißt "Daten". Ihr müsst also in allen nachfolgenden Anweisungen "Daten" durch den Namen eures Pools ersetzen!
Meine Firma heißt "firma", Ihr müßt also in allen nachfolgenden Anweisungen "firma" durch den Namen eurer Firma ersetzen.

Code: Select all

zfs create Daten/Benutzer
zfs create Daten/firma

Wir brauchen für jeden Benutzer ein eigenes Homeverzeichnis (das hat eigentlich nichts mit der Aufgabenstellung zu tun, wird hier aber dennoch erwähnt):
Wir legen die Homeverzeichnisse an, bevor wir die Benutzer einrichten.

Code: Select all

mkdir -p -m 700 /mnt/Daten/Benutzer/gf1
mkdir -p -m 700 /mnt/Daten/Benutzer/gf2
mkdir -p -m 700 /mnt/Daten/Benutzer/ek1
mkdir -p -m 700 /mnt/Daten/Benutzer/ek2
mkdir -p -m 700 /mnt/Daten/Benutzer/vk1
mkdir -p -m 700 /mnt/Daten/Benutzer/vk2

Jetzt legen wir über die Web-Gui die Benutzer an, und weisen ihnen jeweils die soeben angelegten Homeverzeichnisse zu.

Lege also per Web-Gui die Nutzer gf1, gf2, ek1, ek2, vk1 und vk2 an. Achte darauf, daß dies ab der UID 1001 aufwärts geschieht (also daß kein Benutzer die UID 1000 hat).
Wähle bei "Primary group" für jeden Benutzer die entsprechende Gruppe aus. Also z.B. für gf1 die Gruppe GF und für ek2 die Gruppe EK aus.

Wir habe jetzt alle Benutzer und Gruppen angelegt. Die Benutzer haben ein Homeverzeichnis zugewiesen bekommen.
Jetzt legen wir die Gruppenverzeichnisse an:

Code: Select all

mkdir -p -m 770 /mnt/Daten/firma/GF
mkdir -p -m 770 /mnt/Daten/firma/EK
mkdir -p -m 770 /mnt/Daten/firma/VK

Jetzt weisen wir den Gruppenverzeichnissen die richtige Eigentümereigenschaft zu:

Code: Select all

chown root:GF /mnt/Daten/firma/GF
chown root:EK /mnt/Daten/firma/EK
chown root:VK /mnt/Daten/firma/VK

Ja, es ist völlig richtig, daß root Eigentümer der Verzeichnisse ist. Hier ist nur wichtig, daß die jeweilige Gruppe volle Rechte auf das Verzeichnis hat.

Jetzt ist es Zeit für einen Zwischentest.
Erstellt euch eine Freigabe für das Verzeichnis "/mnt/Daten/firma".
Die Freigabe wird nur für die Einstellung "Authentication = Local User" funktionieren.
Meldet euch nun an dieser Freigabe als gf1, gf2, ek1, ek2, vk1 und vk2 an.
Ihr solltet jetzt nur auf die jeweiligen Gruppenverzeichnisse Zugriff haben, und nur dort eigene Dateien anlegen können.
Wenn das nicht klappt, dann liegt ein Fehler vor, und ihr braucht nicht weiter machen. (Meldung!)
Wenn das allerdings erfolgreich ist, dann solltet ihr die gerade angelegten Dateien wieder löschen, bevor ihr den nächsten Schritt angeht (das ist ganz besonders WICHTIG!!!).

Jetzt kommen wir zur Kür.

Mit den "normalen" Unix-Berechtigungen ist die Aufgabenstellung nicht zu bewältigen. Es ist einfach nicht vorgesehen, das eine Gruppe lesend/schreibend, und eine andere Gruppe nur lesend auf ein Verzeichnis zugreift.

Um dieses Problem zu lösen, gibt es gibt es die sogenannten ACLs (Access Control Lists).
Um das umzusetzen, braucht es hier nur zwei Befehle::

Code: Select all

setfacl -m g:GF:rx:fd:allow /mnt/Daten/firma/EK
setfacl -m g:GF:rx:fd:allow /mnt/Daten/firma/VK

Mit diesen beiden Befehlen können die Mitglieder der Gruppe GF lesend auf die Inhalte der Gruppen EK und VK zugreifen.
Das gilt aber nur für neue erzeugte Inhalte in den Verzeichnissen EK und VK (deswegen ist es so wichtig, daß diese Verzeichnisse leer sind .

Ein paar Worte zum Schluss: Das, was ich hier beschrieben habe, ist normalerweise ein paar tausend Euro wert. Leute wie ich verdienen damit ihren Lebensunterhalt. Es liegt nun an euch, ob ihr das zu eurem eigenen Vorteil verwerten könnt.
Ballert das nicht so einfach raus.

[seller]

Hallo Princo,
Tolle Ausführung von Dir!!!
Danke, das kann man bestimmt mal gebrauchen.
Eine kleine Bemerkung sei erlaubt, das "Rausballern" übernimmt das I-Net, auch ohne unser aktives Zutun, dessen bist Du dir doch Bewusst oder?
Gruß
Seller

[Princo]

Eine kleine Bemerkung sei erlaubt, das "Rausballern" übernimmt das I-Net, auch ohne unser aktives Zutun, dessen bist Du dir doch Bewusst oder?

Natürlich steht das alles im Internet. Der Trick dabei ist, so etwas zu einer Gesamtlösung zusammenzuführen.
So ist die gewünschte Funktionalität bei Qnap bereits vorhanden, und in die Oberfläche integriert.
Bei N4F ist das Feature zwar auch vorhanden, aber nur über die Kommandozeile umsetzbar.
Ein N4F-System ist kostengünstiger als ein Qnap (vom technischen Vorteil des ZFS mal ganz zu schweigen).
Die obige Anleitung zeigt, daß sich hinter der Klicki-Bunti-Oberfläche des Qnap eine ACL-Verwaltung steckt.
Mit dem Stichwort "ACL" kann man sich weitere Informationen zu dem Thema einholen.
Im Prinzip sind das alle Grundlagen, welche man braucht, um auch komplexere Berechtigungsstrukturen mit N4F umzusetzen.
Im SOHO-Bereich kann man mit diesem Know-How dann auch durchaus Geld verdienen.

Darauf wollte ich mit der Bemerkung nur hinweisen.

Grüße
Princo

[Mave]

HiHi,

coooool - das funktioniert SUPER!!!

Vielen vielen herzlichen Dank Princo - you are my hero.

Zwei kleine Fragen hätte ich jetzt aber doch noch...
a) warum geht das jetzt "nur" auf neu erstellte Daten? (bzw. was setzt QNAP dann noch oben drauf - bei denen geht es auch nachträglich??)
b) eigentlich für mich viel wichtiger, gibt es jetzt auch noch irgend eine Möglichkeit diese ACL´s wieder auszulesen?? Jetzt erinnere ich mich ja evtl. noch wie und wo ich das gesetzt habe aber in 1-3 Jahren????

Nochmals vielen DANK für diesen SEHR wertvollen Tipp
cu Mave

[Princo]

zu a)

Ich weiß nicht, wie das bei QNAP im Detail gelöst ist. Möglicherweise werden dort die ACL-Einstellungen rekursiv gesetzt. Bei NAS4Free habe ich diese Option beim setfacl-Befehl nicht gefunden. Bei nachträglichen Änderungen müßte man das dann mit dem find-Befehl realisieren. Keine große Sache für einen Experten, aber für einen Anfänger ziemlich happig. Das wollte ich dir ersparen, deswegen dieser Hinweis auf ein "leeres" Dateisystem.

zu b)

Wie du die Einstellungen gesetzt hast, schreibst du natürlich in deine eigene Systemdokumentation.
Du dokumentierst dein System doch, oder?
Spaß beseite: Im alten FreeNAS-Forum wurde mal ein ähnliches Problem behandelt. Dort hatte jemand die wichtigsten Links zusammangestellt. viewtopic.php?f=71&t=591

Die gesetzten Berechtigungen kannst du mit dem getfacl-Befehl ermitteln.

[Mave]

DANKE für die Antwort,

zu a) OK, ja damit wäre ich bestimmt überfordert... aber dann haben die von QNAP da bestimmt noch etwas drauf gesetzt/ geändert.
zu b) KLAR ich habe natürlich alles dokumentiert, die Frage ist nur ob ich meine Doku nachher wieder finde
werde mich dann mal diesem Link bzw. dem getfacl-Befehl widmen.

danke und vg Mave

[Ironcurtain86]

Hallo Princo,

danke für deine Beschreibung. Mir ist leider aufgefallen, dass bei einer cifs Freigabe nur der Eigentümer die Datei verändern kann. Wenn ich zum Beispiel eine txt Datei erzeuge und da etwas reinschreibe. Anschließend mit einem anderen Account der auch in der gleichen Gruppe ist und somit Zugriff auf den Ordner hat diese txt öffne und verändere. Schreibt er mir beim abspeichern "Zugriff verweigert". Ich kann die Datei löschen umbennen usw. aber ich kann sie mit dem anderen Account nicht inhaltlich verändern. Erst wenn ich mit chown den Eigentümer auf den zweiten Account ändere, geht es. Dann klappt es aber mit dem ersten Account nicht mehr. Bedeutet nur der Eigentümer kann die Datei verändern.
Hast du dafür evtl. auch eine Idee?

Gruß

Ironcurtain