SMB für 2 Benutzer mit unterschiedlichen Rechten - TrueNAS 13

[TheNASnovice]

Hallo zusammen,

ich besitze ein TrueNAS 13 System und wollte ein eigentlich bescheidenes Problem lösen, doch leider gelingt es mir nicht.
So manch Anleitung und YouTube Video habe ich mir angesehen doch nicht das Richtige gefunden. Entweder wird sowas triviales(?) nicht thematisiert oder ich habe kein Glück bei der Suche.
Daher frage ich nun euch:

Ich habe einen Pool den ich "Daten" genannt habe (als Windows SMB Freigabe freigegeben) und zwei Benutzer, nennen wir sie user1 und user2.
Beide user sind als Microsoft Konto mit Samba Authentifizierung eingerichtet und befinden sich in der Gruppe smbusers.
Die Freigabe ist wie auf dem Bild im Anhang konfiguriert.

Soweit so gut. Mit beiden Benutzern kann ich in Windows mein Netzlaufwerk verbinden, Dateien/Ordner erstellen, löschen etc.

Nun ist mein Problem folgendes:
Ich möchte, dass nur user1 alles lesen, schreiben/löschen und ausführen darf - von jedem aus der Gruppe smbusers.
Jedoch soll user2 nur seine eigenen Sachen löschen dürfen. Er soll die Dateien/Ordner von user1 nur sehen, lesen und ausführen können - nicht aber löschen.

Wie genau kann ich das realisieren?

Vielen Dank vorab für euren hoffentlich erleuchtenden Rat!


Gruß
Stefan

 

[micneu]

ich mache das über gruppen und acl`s.
meine gruppen nennen sich entsprechend z. b. bilder_rw (die gruppe darf lesen schreiben) und bilder_ro (die gruppe hat nur read only)

Code:

setfacl -m g:bilder_rw:srwx:fd:allow bilder
setfacl -m g:bilder_ro:rx:fd:allow bilder

und die benutzer packst du entsprechend in die gruppe, ganz einfach

PS: hier in der doku wird doch erklärt wie man rechte vergiebt:

Managing SMB Shares

Provides information on how to manage Server Message Block (SMB) shares on your TrueNAS.

www.truenas.com

 

[TheNASnovice]

Hallo micneu,

vielen Dank für deine schnelle Antwort.
Leider scheine ich das Konzept der ACL nicht so ganz zu verstehen. Bei deiner Lösung ist allerdings auch noch ein Haken:
user2 dürfte keine Dateien erstellen und löschen. Er soll das bei seinen EIGENEN Dateien und Ordnern aber dürfen.
Lediglich von anderen usern (insbesondere user1) die Ordner und Dateien soll er nur lesen dürfen.
Ginge das auch mit ACL zu realisieren?


Gruß
Stefan

 

[micneu]

Genau, du hast es nicht verstanden, ich habe es bei mir natürlich für jede Freigabe entsprechend die beiden Gruppen und acl erstellt und die Benutzer entsprechend in die Gruppen gepackt.Du solltest dich allgemein in das Thema fileserver mal einlesen sonst müssen wir hier jedes Detail beschreiben.
Ich beschäftige mich seit ca. Mitte/ende 1990 mit diesen Themen damals noch auf Debian und samba. Google am besten mal welche Konzepte es gibt fileserver umzusetzen (besonders rechte/Freigabe)

 

[TheNASnovice]

Ich glaube nicht, dass ich das nicht verstanden habe.
Du hast bei deinem Beispiel zwei Gruppen. Eine Gruppe darf lesen, die andere darf auch schreiben.
Dann packst du user1 in die eine und user2 in die andere Gruppe.
Ja das kann man natürlich auch für jede Freigabe tun.
Nur kann user2 dann eben nur lesen - du sagst selbst: read only. Er soll aber schreiben und löschen können. Aber nur sein eigenes. Also Benutzerbezogen. user1 wiederum soll Gruppenbezogen alles löschen können von jedem der in der Gruppe ist (zumindest aber sein eigenes Zeug und das von user2).
Der Knackpunkt ist, das ich immer nur sagen kann "darf schreiben" oder "darf nicht schreiben". Ich brauche aber die Unterscheidung wer von wem löschen darf.

Deine Expertise in allen Ehren - so sollte Sie doch für meinen sicherlich fast schon "Standardfall" sicher ausreichend sein um mir schnell und zielführend zu helfen.
Mich jetzt in ein Selbststudium zu schicken (soll ich auch 30 Jahre Wissen und Erfahrung sammeln damit ich endlich meine NAS fertig konfigurieren kann?) ist wenig hilfreich und ich wage zu behaupten nicht im Sinne eines Community-Forums wo Menschen eben von kundigeren Leuten geholfen werden soll.
Ich bin nicht unbedarft und kann mich in sofern im Netzwerk und in der NAS-Welt bewegen, das ich so manches schon selbst erreichen konnte.
Meine NAS läuft nicht erst seit gestern sondern ein paar Jahren. Nur hat sich eben jetzt was bei meinen Anforderungen geändert.
Mich als völlig unwissend hinzustellen und ins Selbststudium zu schicken ist daher kein feiner Zug.
Ja es gibt Dinge, wo ich nochmal Hilfe brauche und dafür dachte ich sei dieses Forum der richtige Ort.

Ich hoffe damit kein böses Blut zu verantworten - es ist ja lediglich mein Verständnis von einer Community.


Lieben Gruß
Stefan

 

[micneu]

also, entweder hast du dann kein für mich verständliches beispiel gegeben damit ich es richtig einordnen kann oder du willst was umsetzen was man ungerne als "administrator" sehen/haben möchte.
bitte beschreibe doch nochmal detailiert und gerne auch mit einer skizze wer, wo, wie, was können/dürfen soll.
das mit dem selbst studium war so gemeint das du vieleicht selber erkennst das ein bestimmtes vorhaben nicht so die kleversete idee ist.

 

[TheNASnovice]

Vielleicht habe ich mich ungünstig artikuliert, das kann sein.
Ich habe nun eine Skizze erstellt die mehr Klarheit bringen soll - sonst bitte gerne nachfragen sollte ich eine wichtige Information unterschlagen haben.
Ich behaupte, das es Administratoren sicher nicht fremd ist, dass jemand mehr Rechte hat als ein Anderer und ggf. auch die Dateien des Anderen löschen kann (Support/Kunde ; Vorgesetzter/Mitarbeiter ; Secondlevel/Firstlevel ; ...).
Gerne lasse ich mich aber von einer besseren Lösung überzeugen:

Kern meines Wunsches ist, dass es 2 Benutzer (oder mehr) gibt.
Benuzer 1 darf ALLES (auch bei Dateien und Ordnern der Anderen; auch natürlich löschen - das ist der einzige Unterschied)!
Der/die anderen Benutzer dürfen nur ihre EIGENEN Dateien und Ordner vollumfänglich ändern, erstellen und löschen.
Eine Datei oder ein Ordner die Benutzer 1 gehört (von ihm erstellt) können die Anderen nur lesen und ausführen.

Das Selbststudium hat seine Berechtigung und ist auch sicherlich interessant.
Vielleicht erkennt man dadurch andere und bessere Wege.
Jedoch geht es hier hauptsächlich um eine unkomplizierte Hilfe zur Lösung des Problems.
Mit dem Hinweis auf ein Selbststudium zur akuten Lösungsfindung könnte man das Forum hier auch gleich schließen.
Ich kann natürlich aber auch den Frust verstehen, wenn die selben Dinge 5x die Woche abgeklappert werden.
Da muss man dann im Zweifel einfach weiter scrollen (zum Leidwesen des Fragenstellers).
Doch bin ich froh, dass du dich meiner Sache angenommen hast - vielen Dank dafür!

 

[micneu]

ok, langsam habe ich es verstanden (befürchtet), das macht doch die rechte vergabe unötig kompliziert (besonders wenn es mal mehr leute werden (könnten).
ich kann nur empfehlen:
- richte für jeden möglichen benutzer eine eigen freigabe ein
- rechte gruppen für diese einmal mit rw und einmal mit ro
- vorteil es soll zukünftig benutzer1 auch die daten von benutzer2 bearbeiten so kannst du ganz einfach den benutzer in die entsprechende rw gruppe packen und gut ist.
- oder benutzer1 ist weg also ganz einfach benutzerX die rechte dafür geben.

 

[TheNASnovice]

Das es kompliziert wird habe ich befürchtet.
Dein Vorschlag basiert aber darauf, das jeder einen eigenen share hat.
Eine gemeinsame Arbeitsumgebung/Dateifreigabe ist so aber nicht möglich da jeder sein eigenes "Reich" hat.
Diese Lösung ist zugegeben relativ einfach und flexibel, aber es erfüllt meinen Wunsch nach dem gemeinsamen Share nicht.

Der Hintergrund ist das user1 Dateien zur Verfügung stellt und user2 auf diese zugreifen aber nicht löschen kann.
Auch kann user2 selbst dort etwas zur Verfügung stellen. User1 kann das aber im Bedarfsfall selbst wieder löschen (z.B. wenn er die zur Verfügung gestellte Datei irgendwo anders einsortiert hat).
User2 darf aber niemals die Sachen von user1 löschen können.

Mit unterschiedlichen shares geht es sicherlich auch, ist aber unkomfortabler wenn man von share zu share hangeln muss.

Doch wenn ich es richtig verstehe ist es die administrativ gesehen bessere Lösung.

 

[micneu]

kannst mal versuchen ohne sticky-bit, kann sein das es so gehen könnte, ab jetzt bin ich raus und werde auch nicht mehr antworten, viel glück
das bewirkt das neue verzeichnisse oder dateien nicht mit den gruppenrechten angelegt werden

 

[TheNASnovice]

Da ich das Sticky-Bit nicht kenne und nicht weiß wo ich es setzen kann (oder eben auch nicht) dürfte sich dieser Vorschlag schlecht prüfen lassen.
Ich danke dir dennoch für deine Hilfe bis hier hin und den alternativen Lösungsweg.

 

[bic]

Ich beschäftige mich seit ca. Mitte/ende 1990 mit diesen Themen damals noch auf Debian und samba.

Debian gibt es doch erst seit Ende 1993? Samba ist ja wenigsten noch ein Jahr älter

 

[bic]

@ TheNASnovice - sag mal, von was für Kisten aus willst Du denn Dein NAS nutzen? Vielleicht gibt es ja doch eine einfache Lösung für Dein vorhaben.

 

[micneu]

Debian gibt es doch erst seit Ende 1993? Samba ist ja wenigsten noch ein Jahr älter

ich meinete damit den zeitraum von 1995 - 1999

 

[TheNASnovice]

@ TheNASnovice - sag mal, von was für Kisten aus willst Du denn Dein NAS nutzen? Vielleicht gibt es ja doch eine einfache Lösung für Dein vorhaben.

Von Windows 11 Kisten und iPhones hauptsächlich

 

[TheNASnovice]

Die Sache ist wohl irgendwie eskaliert und obwohl ich nur an einem Pool gearbeitet habe sind nun Probleme auf allen Pools.
Weiteres im neuen Thread (ich bitte euch mir zu helfen ):

Alle Pool plötzlich nur noch mit Leserechten/Spezialrechten - TrueNAS 13

Hallo zusammen, eigentlich war ich nur dabei auf meinem "Daten" Pool eine SMB Freigabe mit unterschiedlichen Rechten für verschiedene User einzurichten. Ich weiß nicht was passiert ist und kann es absolut nicht nachvollziehen wieso aber nun habe ich Rechteprobleme auf ALLEN Pools. Selbst mein...

www.truenas.com

 

[bic]

Von Windows 11 Kisten und iPhones hauptsächlich

Wenn Du da eine dauerlaufende Windowskiste dabei hast, dann verzichte auf SMB und richte auf dem NAS Zvols ein. Diese bindest Du dann per iSCSI an die Windowskiste wo diese erscheinen, als wären es interne Laufwerke. Die Partionierung, Formatierung und Rechteverwaltung erfolgt dann auch nur über Windows, so dass Du den ganzen undurchsichtigen ACL-Kram nicht brauchst und die Rechte eben windowslike setzen kannst, so etwas wie Du vorhast ist ja dann leicht eingerichtet.

PS. Vielleicht geht dies sogar, wenn Du Windows als VM auf der Truenas laufen lässt, ich habe das aber nocht nicht probiert.

 

[TheNASnovice]

Dauerlaufend ist sie leider nicht. Somit wäre höchstens dein Einfall der Windows VM auf dem TrueNAS eine Möglichkeit.
Diese Option werde ich demnächst gerne einmal ausprobieren. Danke für den Hinweis!

Zuvor steht allerdings eine (meine erste) Vergrößerung zweier Pools an und meine Hardware bekommt auch ein Update.
Wenn dann wieder (hoffentlich ohne Datenverlust ) alles läuft werde ich mir das mal näher ansehen.