Freenas-Neuling: CIFS kein Schreibzugriff mit eigenem Benutzer

[D3r_P!lg3r]

Hallo zusammen,

ich hab mir Heute mal mein erstes eigenes NAS zusammengebastelt. Die Installation lief reibungslos und ich habe erstmal generellen Zugriff auf das NAS. Nun wollte ich ein paar Cifs einrichten und differenzierte Rechte vergeben. Und fing das ganze mal mit 1er Festplatte im NAS und der simplen Aufgabe "ugo=rwxrwxr-x" sprich Userund GroupVollzugriff und other nur lesen und ausführen zu geben an.



Das NAS hat als Netzwerkkonfig folgenden Part:


Die Freigabe selbst sieht so aus:


Darüber hinaus habe ich einen neuen Benutzer...


...und eine neue Gruppe angelegt.


Die Gruppe ist Eigentümer des Shares geworden und den Benutzer habe ich zur Gruppe hinzugefügt (s.o).

Demnach müsste ein mappen des Shares mit \\freenas\freenas01 Lese- und Ausführenzugriff gewähren,
und das mappen des Shares mit den Credentials free.nas\freenas <freenas> <Password> Vollzugriff. Oder?!

Die Festplatte ist im übrigen unter FreeNAS mit dem Dateityp UFS partitioniert worden.

Leider erhalte ich als Benutzer mit verwendeten Credentials nur Lesen- und Ausführenrechte. Änder ich die Rechte auf "ugo=rwxrwxrwx" haben sofort alle die Rechte alles zu tun....

Kann mir wer helfen? Hab schon so einige Konfig versuche durch verstehe das Problem aber nicht. Auch sowas dämliches wie "Benutzer unter Windows und Benutzer im Linux müssen übereinstimmen" habe ich schon ausprobiert....

Gruß

D3r_P!lg3r

 

[dbanck]

Auf den ersten Blick konnte ich keinen Fehler feststellen.
Kannst du einmal die Ausgabe von `ls -lha /mnt/freenas01` (in der Shell eingeben) posten?

Hast du mal versucht die Freigabe explizit als Netzwerklaufwerk mit speziellen Anmeldedaten einzubinden? Hast du mal versucht, was passiert wenn du ein falsches Passwort eingibst? Bekommst du dann die Rueckmeldung, dass das Passwort falsch ist?

 

[D3r_P!lg3r]

Ähm ne kann ich nicht mehr, aber die Rechte wurden Rekursiv für alle Verzeichnisse richtig durchvererbt. Hab seit dem ersten Post jede freie Minute in das System investiert und nichts hat funktioniert. Ich glaube das meine Linux Kenntnisse soweit reichten das es hätte funktionieren müssen. Bin auf anraten von anderen Foren und Kollegen zu einem anderen Produkt gewechselt. Da hat es sofort alles richtig funktioniert.

Aber um die Frage noch zu beantworten: Ja habs mit falschen Daten probiert und es kam wie gewünscht ein Login-Fehler, das das PW falsch wäre. Die Authentifizierung am Server war es zu dem Zeitpunkt also auch nicht denn die hat gegriffen.

Aber danke für die Antwort.

So have fun

 

[dbanck]

Dann viel Spaß mit NAS4Free? ;)

 

[Taurus]

Hier hänge ich im moment auch!

Ich kann unter Windows neue Daten schreiben und Dateien löschen, aber bestehende Dokumente nicht nach einer Änderung speichern.

Hat jemand einen plausiblen Zusammenhang woran das hängen könnte?

Grüße Taurus

 

[Taurus]

Gibt es irgendwo eine deutsche Schritt-für Schritt Anleitung wie richte ich Benutzerrechte im CIFS ein für Dummies?

 

[Spacemarine]

Ich meine schön öfter gelesen zu haben, dass solche seltsamen Probleme entstehen, wenn man eine Windows-Freigabe mit Unix-rechten verwaltet. Statt dessen sollte man bei ACL "Windows" einstellen und die Rechte der Dateien dann vom Windows-Client aus einstellen. Das habe ich aber nur gelesen und habe da kein weiteres Wissen zu.

 

[emk2203]

Hier hänge ich im moment auch!

Ich kann unter Windows neue Daten schreiben und Dateien löschen, aber bestehende Dokumente nicht nach einer Änderung speichern.

Hat jemand einen plausiblen Zusammenhang woran das hängen könnte?

Grüße Taurus

Nimm dir mal den Threadstarter von D3r_P!lg3r zum Vorbild - ohne ausführliche Informationen kann ich dir nicht helfen, da meine Kristallkugel gerade beschlagen ist.

Im WebUI:
Storage/Volumes/[Volume]/Change Permissions - wie sieht das Fenster aus?
Sharing/??? Shares/[Share] - wie sieht das Fenster aus?

Bei Login via SSH auf das System: was sagt getfacl /mnt/tank/[Volume]?

 

[Taurus]

Ich muss meine Einstellungen nochmal in aller Ruhe durchgehen, daher auch die Frage nach einer Schritt-für-Schritt Anleitung um meinen Fehler zu finden.

Wenn ich das getan habe werde ich euch mit den entsprechenden Infos versorgen.
Ich dachte eben einer von euch Cracks hatte das Problem auch schonmal oder kann sich denken woran es liegt und gibt mir einen Fingerzeig.
Über kurz oder lang muss ich mich auch mal in Linux Rechte einarbeiten vielleicht fällt dann der Groschen bezüglich ACL und Co.

Wenn ich selbst nicht weiterkomme werde ich euch dann die Glaskugel reinigen!
Danke schonmal Taurus

 

[emk2203]

Das ist leider eins der häufigsten Probleme, und die Ursachen können überall sein. Nicht nur bei FreeNAS, sondern auch beim Client.
Wenn du die 3 Schritte von oben von mir machst, kommst du schon mal weiter.

Deine Permissions sollten Windows sein, damit du von allen Windows-Clients ohne Zusatzsoftware darauf zugreifen kannst. Wem gehört das Volume? Root, Nobody oder Taurus (z. B.)? Such dir was raus, was für dich passt, und setz die Rechte rekursiv.

Bei den Shares kannst du bei Windows shares dann den share doppelklicken und set sane windows permissions durchlaufen lassen.

Das sollte im Normalfall schon viele Fehler beheben.

 

[Taurus]

Oh man, ich denke ich habe heute Nacht mehr Schaden als Nutzen angerichtet. U.a. den Besitzer des Volumes komplett geändert hier bin ich mir auch nicht sicher ob das sauber durchgelaufen ist (rechte rekursiv).

Ich möchte eigentlich nur mehrere Windows-Clients mit Vollzugriff auf ein Volume zugreifen lassen.
Macht es hier wirklich SInn die Rechteverwaltung via Windows ACL zu machen oder wäre das mit Unix Rechten einfacher.
Vor unbefugtem Zugriff schütze ich mich ausschließlich über die ZFS Verschlüsselung die ich per WebGui dann eingebe, danach darf jeder im Heim-Netz darauf zugreifen.
Das Problem besteht wie gesagt nur bezüglich der Dateien-Veränderung....seit heute Nacht hab ich auch kein Schreibzugriff mehr.
Was wäre denn empfehlenswert: root, nobody oder eben eigener Benutzer(Taurus).
Ich habe damals keine Datasets eingerichtet, kann das die Probleme verursachen?

Grüße Taurus

 

[stefanb]

CIFS mit Dataset-Type Windows ist die einzige "saubere" Variante.
Ich hatte früher mal ein kleines Video erstellt:


Vielleicht hilft es ja...
S.

 

[stefanb]

Noch zur Info:

Ziel war damals: Kein Gastzugriff, Alle User nur lesen, ein User mit lesen & schreiben.
Kannst Du aber entsprechend deinen Anforderungen anpassen.
S.

 

[Spacemarine]

Ich hatte früher mal ein kleines Video erstellt:

Ist das Video absichtlich ohne Ton? Zumindest kommt bei mir keiner. An manchen Stellen ist mir nicht ganz klar, warum du etwas machst, aber du hattest wohl auch ein spezielles Ziel (Ein User Vollzugriff, alle anderen nur lesen)
Ich will dass alle User innerhalb einer bestimmten Gruppe auf alle Dateien voll zugreifen können, User aus einer anderen Gruppe sollen auf eine andere Share voll zugreifen können. Gehe ich richtig in der Annahme, dass ich im Genesatz zu deinem Video dazu die Filemask und Directory mask nicht abändere sondern auf dem Standard-Wert lasse und die Einstellungen vom Windows-Client aus auch weg lasse?

 

[stefanb]

Hi,

Video ist ohne Ton, war nur auf die Schnelle aufgenommen.

Die File- und Directorymask würde ich so lassen. Die besagt Owner & Group haben Vollzugriff, alle anderen nicht - das passt zu deinem Szenario.

Du machst zwei Gruppen, A & B und weist die User den entsprechenden Gruppen zu.
In den "Dataset 1" permissions setzt du den Owner User auf root und die Owner-Gruppe auf A. Bei Dataset 2 auf root und Gruppe B.
Nimm als ownder den root, hat den ein oder anderen Vorteil. Wenn Du einen User (Du?) hast, der auf alles zugreifen soll, dann steckst Du den einfach in beide Gruppen.
Recursive aktivieren, wenn bereits Daten in den Datasets enthalten sind. Permission Type auf Windows!

In den Shares den Guest Access ausschalten und "Apply default permissions einschalten" - die hast du ja hoffentlich noch in den CIFS Einstellungen auf 0660 und 0770 gesetzt. Evtl auch "Browsable to Network Clients" aktivieren.

Unter Windows (als root angemeldet!) auf die Freigabe-Liste gehen, also im file-explorer \\NAS_SERVER_IP aufrufen. Rechte Maustaste auf die Freigabe, Eigenschaften, Sicherheit.
Hier solltest Du jetzt in den Berechtigungen den root und die entsprechende Gruppe sehen. Wenn noch der Benutzer "Jeder" enthalten ist, dann kannst Du den löschen.
Prüfe die Rechte von Gruppe und Root, sollte aber passen (durch die 0770 und die 0660...)

Ich hoffe Du bekommst es jetzt hin und ich habe nichts vergessen.
S.

 

[Spacemarine]

Nimm als ownder den root, hat den ein oder anderen Vorteil.

Ich habe Nobody als User für die Dateien, auf die eine ganze Gruppe zugreifen soll. Macht das Probleme? Root sollte doch trotzdem zugreifen können?

die hast du ja hoffentlich noch in den CIFS Einstellungen auf 0660 und 0770 gesetzt.

Die stehen bei mir leider noch auf 0666 bzw. 0777 (die Default-Werte eben). Das kann ich wohl nicht rekursiv für bestehende Dateien über die GUI ändern?

Mit den Gruppen habe ich es so gemacht, dass es mehrere Gruppen gibt und zusätzlich jeder User noch seine eigene Gruppe hat, in der nur er ist. Sein Privates Verzeichnis gehört dann seiner eignen Gruppe, somit kann nur er drauf zugreifen. (Zumindest in der Theorie, denn wie gesagt habe ich 0666 bzw. 0777 gesetzt, damit klappt das nicht)

Was mir da noch nicht ganz klar ist: Wenn es User mehreren Gruppen angehört und eine Datei/ein Verzeichnis anlegt, welcher Gruppe gehört die dann?

Den Rest habe ich verstanden und werde es ausprobieren. Danke!

 

[Taurus]

@stefanb:
Erstmal vielen Dank für dieses Video, ich denke es ist genau das was mir gefehlt hat.
In dem Video wird bei 0:18 ein Passwort für root gesetzt.
Ist das Passwort mit dem ich mich im webGui anmelde ja ebenfalls root das selbe?

Nutzt du hier die selben Anmeldedaten wie sie dein windows account hat. Unter Windows Benutzer root?
Da fehlt mir noch das Verständnis. Sind die Benutzer unter Freenas dann doch die verschiedenen Windows Nutzer?

 

[stefanb]

Hi,

user root + kennwort müssen auf freenas und auf Windows identisch sein.
User root natürlich dann, wenn der Besitzer in den Permissions auf root steht.
Daher habe ich unter Windows auch einen Benutzer root angelegt.

Die normalen Benutzer in Freenas sollten identisch sein mit den Windows Benutzern.
Ansonsten müssen sich die normalen Windows Nutzer mit einem anderen Benutzernamen anmelden.

S.

 

[Taurus]

Vielen Dank
Das Video und die 0660 0770 hat mich weitergebracht.
U.a. hat aber Win7 einen reboot gebraucht um sich an FreeNAS richtig anmelden zu können. *kopfschüttel*

 

[stefanb]

Na also :)
Gern geschehen!

S.