Replication und Benutzer-ID Problem.

[hawell]

Hallo Zusammen,

ich beobachte bei meinen NAS das Phänomen, der USER-ID -- Zugrifsrechte -- Vermischung.

ich habe 2 FreeNAS (11U4) und lasse beide NAS gegeneinander Replizieren (einzelne Datasets)
Da beide NAS produktiv genutzt werden haben diese NAS unterschiedliche USER-Namen - aber beide im ID-Bereich beginnend ab 1000.

nun stelle ich fest, dass User mit z.B. der ID 1000 des "NAS-A" in den Replikations-Dataset des NAS-B schauen können - ohne das der USER die Rechte sollte.
Ein Blick auf die ACL Liste des Ziel-NAS zeigte, dass im Ziel andere USER eingetragen sind als auf der QUELLE aber die User ID ist identisch.

Kann es sein, dass ich unter Freenas immer auf der Quelle und im Ziel die User und Gruppen gleichen sein müssen? Scheinbar werden über den Replikationstask nur die USER-IDs übertragen und nicht die USER-Namen dazu.


oder wie handhabt man das Problem.

Gruß Rico

 

[micneu]

mit Den identischen username und id hätte ich auf alle Fälle so gemacht, um einfach im vorweg solche Probleme garnicht auf kommen zu lassen. in einer ehemaligen Firma hatten wir dafür Skripte gebastelt (wir hatten kein da oder LDAP) das uns auf allen Systemen den Benutzer anlegt (es war linux kein FreeNAS)

 

[hawell]

ich hätte "gedacht" dass die USER -Rechte in der Replikation keine "Rolle" spielen bzw. anderweilig gespeichert werden. So das es hier nicht zu ungewollten Zugriffen auf dem Zielsystem kommen kann.
Hatte mich etwas überrascht.

OK, dann werde ich die USER neu anlegen.

danke

 

[Fredda]

Das kommt darauf an, was Du unter USER-Rechten verstehst.

Was repliziert wird ist das Filesystem. Dazu gehören eben auch die Userrechte. Aber auf dem Filesystem sind nur die numerischen UIDs und GIDs gespeichert. Wie diese dann auf die Userkennungen gemappt werden, hängt vom jeweiligen Server und auch vom NFS client ab.
Hier macht es dann nochmal einen Unterschied, ob Du nfsv3, nfsv4 oder nfsv4 mit nfsv3 ownershipmodel benutzt, alles klar?

Aber so ganz verstehe ich Deine Sicherheitsbedenken nicht. Wieso sharest Du überhaupt die Replicationsdatasets auf den jeweiligen Remote-Servern?
Wenn Du diese Datesets nicht sharest, hast Du die Probleme nicht.

 

[hawell]

Wieso sharest Du überhaupt die Replicationsdatasets auf den jeweiligen Remote-Servern?
Wenn Du diese Datesets nicht sharest, hast Du die Probleme nicht.

wie kann ich das denn einstellen ?

 

[Fredda]

Naja, Du hast es ja auch eingestellt, dass sie geshared werden

Du musst halt nur die Datasets sharen, wo die Leute auch drauf sollen. Oder sharest Du den kompletten Pool?

 

[hawell]

meinst du unter Sharing - Windows shares (SMB) ?

ja da hab ich den ganzen Pool Freigegeben.

 

[Fredda]

Ja, Du solltest Dir vielleicht überlegen, das ganze auf Dataset-Basis freizugeben, das ist generell eine gute Idee.
Oder Du schließt die Verzeichnisse in den Advanced Options über die extra Parameter aus:
veto files = /mnt/pool/foo/*bar*/