FreeNas als wirklich Windows-Client-fähige Datenablage in einer Mehr-Benutzer-Umgebung?

[Thorsten Brüning]

Es scheint also Unterschiede zu geben, ob ich mit einer von 9.2.1.5 oder 9.2.1.7 geupdateten
oder einer frischen, nicht geupdateten 9.2.1.8er FreeNas Version mit der Rechteverwaltung starte.
*übelst*

Nun, meine Vermutung hat sich bewahrheitet:

• V9.2.15 bis V9.x.aktuell verhalten sich bei CIFS unterschiedlich
• ein V9.2.xx auf V9.3.x.aktuell geupgradetes FreeNas "behält" seine Fehler bei,
  was (CIFS-)Freigaben und defekte Gruppenrechte betrifft
  Löschen von defekten Gruppen und Neuanlage der Gruppen bringt nichts
• ein frisches V9.3 verhält sich endlich wie erwartet

Ab (neu installiertem bzw. neu konfiguriertem) FreeNas >= V9.3-STABLE-201502060108
werden keine defekten Gruppen (S-123-45-678-usw.) mehr im Windows-Client angezeigt.
Alles funktioniert wie von Windows-Rechnern her gewohnt.
(Endlich!)

Wie gesagt, bei Upgrades von 9.x.xx auf 9.3.xx bleiben ohne Löschung der Freigaben
und der Datasets selbst (und evtl. der selbst angelegten Benutzer und Gruppen)
die CIFS-Shares defekt! Egal was man umbiegt, umbenennt oder anhält, neu startet, etc.

Nachfolgend benutze ich verschiedene Synonyme zur Verkürzung oder für besseres Verständnis:

• "ich" für den Namen des Benutzer-Kontos, welches mich repräsentiert
• "Besitzer" für "Eigentümer (Benutzer)"
• "Gruppe" für "Eigentümer (Gruppe)"

Hier die Lösung für alle meine in diesem Thread angeführten Probleme:

• Datensicherung des Pools/aller relevanten Datasets
  
  
• CIFS-Dienst abschalten
• Löschen des Pools/der betroffenen Datasets
• Neuanlage des Pools/der Datasets
• Löschen aller selbst angelegten Benutzer und Gruppen (evtl. unnötig, TESTEN!)
  
  
• oder einfach Neuinstallation der ganzen Kiste

• CIFS-Dienst abgeschaltet lassen (!)
  
  
• (Neu-)Anlage aller benötigten Benutzer (ich, andere) und Gruppen (Admins, Benutzer, usw.)
  Zuordnung der Benutzer zu den Gruppen
  Man achte bei der Benutzer-Anlage darauf, dass
  • bei "Neue primäre Gruppe für den Benutzer erstellen" ein Haken gesetzt ist
  • bei "Create Home Directory In" der Eintrag "/nonexistent" vorhanden ist
    
  • der Modus des Heimatverzeichnisses (im Erweiterten Modus) keine Auswirkungen hat
    (Finger weg!)
  • bei Benutzern, die nur Windows-Zugriff auf FreeNas haben sollen,
    der Eintrag "Shell" auf "nologin" geändert wird
  • nur bei Mitgliedern der Gruppe Admins ein Haken bei "Sudo zulassen" gesetzt ist/wird
  • alle angelegten Benutzer der Gruppe Benutzer hinzugefügt werden
    (Mitglieder der Gruppe Admins zwingend auch zur Gruppe Benutzer hinzufügen!)
• Unbedingter Verzicht auf automatische Heimatverzeichnisse (HomeShares) !!!
  
  
• Anlegen eines User-Sammelverzeichnisses namens "Benutzer" für die Privat-Verzeichnisse als DataSet (Typ Windows)
  Dataset-Rechte: ich als Besitzer, Gruppe Benutzer als Gruppe
• Anlegen der Privat-Verzeichnisse im Sammelverzeichnis "Benutzer" als DataSet (Typ Windows)
  Dataset-Rechte jeweils: Username als Besitzer, Gruppe Admins als Gruppe
  (Für alle "unsere" Benutzer ist manuell ein Privat-Verzeichnis anzulegen)
• Freigaben für die Privatverzeichnisse anlegen
  Vorsicht:
  • bei "Use as home share" niemals Haken setzen
  • bei "Apply Default Permissions" niemals Haken setzen
  • bei "Im Netzwerk durchsuchbar machen" Haken setzen
• CIFS-Dienst konfigurieren: Verzeichnis-Maske 0770, Datei-Maske 0660
• CIFS-Dienst einschalten
• Datasets nach Setzen von Typ, Besitzer und Gruppe mit FreeNas ausschließlich (!)
  von einem Windows-Client aus mit "Freigabe" und "Sicherheit" weiter bearbeiten:
  Benutzer und Gruppenrechte kontrollieren, evtl. zusätzliche FreeNas-Benutzer für
  die Freigabe hinzufügen, diesen Benutzerrechte gewähren/sperren, usw.
  (Vorsicht beim Karteireiter "Sicherheit"!)
• Datensicherungen vom Windows-Client aus als jeweiliger Benutzer (!) zurückspielen

Das ganze funktioniert natürlich nur, wenn die Arbeitsgruppe (in GROSSSCHRIFT)
auf den Windows-Clients UND auf der FreeNas-Kiste identisch ist
UND
die Benutzer der Windows-Clients identische Benutzernamen und Passwörter auf der FreeNas-Kiste haben.

Windows-Clients mit Leer-Passwörtern (d.h. Windows-Benutzer ohne Passwort)
dürfen NICHT auf FreeNas-CIFS-Freigaben zugreifen.
(Wer absichtlich keine Passwörter für seine Accounts benutzt, ist eh nicht bei Trost!)

Falls ein Verzeichnis für Jedermann-Zugriff benötigt wird,

• legt man einen Benutzer "Gast" mit Passwort (z.B. "gast") an
• eine Gruppe "Gast" wird automatisch erstellt
• legt man ein Dataset "Public" (Typ Windows) an (ich als Besitzer, Gruppe Gast als Gruppe)
• fügt alle normalen FreeNas-Benutzer, die Zugriff darauf erhalten sollen, zur Gruppe Gast hinzu
• fügt die Mitglieder der Gruppe Admins zur Gruppe Gast hinzu, falls noch nicht vorhanden
  
• erstellt eine Freigabe "Public" nach o.a. Muster
• setzt von einem Windows Client die Rechte der Freigabe "Public" für "Jeder" wie benötigt.

Finger weg von den FreeNas-Freigabe-GAST-Einstellungen!

Ab jetzt kann sich jeder "Besuch" oder Vertreter mit Benutzername "Gast" und Passwort "gast"
sicher in den definierten Bereich "Public" einloggen.


Falls ein Bewegungsdaten-Verzeichnis für alle angelegten FreeNas-Benutzer benötigt wird,

• legt man ein Dataset "Daten" (Typ Windows) an (ich als Besitzer, Gruppe Benutzer als Gruppe)
• erstellt eine Freigabe "Daten" nach o.a. Muster
• setzt von einem Windows Client die Rechte der Freigabe "Daten" wie benötigt.
• fügt von einem Windows Client der Freigabe "Daten" Benutzer mit eigenen Rechten/Sperren
  hinzu wie benötigt

Falls ein Geschäftsleitung-Verzeichnis für Chefs benötigt wird,

• legt man eine Gruppe "Chefs" an
  
• fügt die entsprechenden Mitglieder der Geschäftsleitung zur Gruppe Chefs hinzu
• fügt die Mitglieder der Gruppe Admins zur Gruppe Chefs hinzu, falls noch nicht vorhanden
  
• legt man ein Dataset "Intern" (Typ Windows) an (ich als Besitzer, Gruppe Chefs als Gruppe)
• erstellt eine Freigabe "Intern" nach o.a. Muster
• setzt von einem Windows Client die Rechte der Freigabe "Intern" wie benötigt.
• fügt von einem Windows Client der Freigabe "Intern" Benutzer mit eigenen Rechten/Sperren
  hinzu wie benötigt

Falls ein gesondertes Buchhaltungs-Verzeichnis benötigt wird,

• legt man eine Gruppe "Buchhaltung" an
  
• fügt die entsprechenden Benutzer zur Gruppe Buchhaltung hinzu
• fügt die entsprechenden Mitglieder der Gruppe Geschäftsleitung zur Gruppe Buchhaltung hinzu
  
• fügt die Mitglieder der Gruppe Admins zur Gruppe Buchhaltung hinzu, falls noch nicht vorhanden
  
• legt man ein Dataset "Buchhaltung" (Typ Windows) an
  (ich als Besitzer, Gruppe Buchhaltung als Gruppe)
• erstellt eine Freigabe "Buchhaltung" nach o.a. Muster
• setzt von einem Windows Client die Rechte der Freigabe "Buchhaltung" wie benötigt.
• fügt von einem Windows Client der Freigabe "Buchhaltung" Benutzer mit eigenen Rechten/Sperren
  hinzu wie benötigt

Falls für einen Super-Admin ein Super-Privat-Verzeichnis benötigt wird, in das auch andere Admins nicht hineinschauen dürfen,

• modifiert man sein vorhandenes Privat-Verzeichnis wie folgt
  
• mit FreeNas unter "Speicher" das Privat-Verzeichnis des Super-Admins aufsuchen
• "Zugriffsrechte ändern" anklicken
• Haken über "Eigentümer (Benutzer)" setzen
  
• bei "Eigentümer (Benutzer)" den Benutzernamen des Super-Admins auswählen
• Haken über "Eigentümer (Gruppe)" setzen
  
• bei "Eigentümer (Gruppe)" auch den Benutzernamen des Super-Admins auswählen
  
• Haken bei "Setze Rechte rekursiv" setzen
  
• "Ändern" klicken
• von einem Windows Client aus die Rechte der Freigabe des Super-Admins kontrollieren/ändern

Ich empfehle jedem (Windows-)Benutzer, sich (erneut) bezüglich des Windows-Freigabe-Dialogfensters
die Unterschiede zwischen dem Karteireiter "Freigabe" und dem Karteireiter "Sicherheit" zu verdeutlichen.

Ich hoffe, ich kann damit helfen!
Anregungen, Kritik bzw. Ergänzungen sind willkommen.

Gruß
TB

 

[bax5000]

Danke für Deine Zusammenfassung!!