Schreibrechte auf Homes

[Moritz86]

Guten Morgen,

ich habe folgendes Problem, undzwar gibt es drei User die dem Systemdefault Admin gleichgesetzt werden müssten, damit diese drei User, ohne den wirklichen Adminzugang zu erlangen, auf alle Home-Ordner zugreifen können.

Den Zugriff habe ich bereits im DS-Manager gegeben mit RW-Rechten, d.h. sie sollten RW-Rechte auf alle Unterordner in Homes haben, doch leider können Sie nur lesen aber nicht schreiben, (edit) dies soll im Win Explorer funktionieren, denn alle Benutzer haben Windows XP (edit).

Würde mich sehr freuen wenn es eine Lösung für mein Problem gibt oder mir jemand bestätigt das ich da totalen quatsch gemacht habe

Gruß Moritz

 

[jahlives]

Auf alle Homeverzeichnisse schreibend zuzugreifen kann wenn schon nur der admin resp root. Und von beiden gibt es auf der DS nur einen. Mir wäre nicht bekannt, dass man einen weiteren Admin Account erstellen könnte.
Und wenn die Rechte auf dem jeweiligen Homeverzeichnis korrekt gesetzt sind, dann sollte eigentlich nichtmal der admin weder lesend noch schreibend drauf zugreifen können.
Normalerweise haben Homverzeichnisse nur Rechte für den Eigentümer und keine Gruppenrechte oder Rechte für den Rest der Welt.
Viele Programme, die sich in home einnisten, würden sich bei Gruppenrechten eh querlegen und den Dienst verweigern. ssh mit seinem authorized_key file wäre so ein Kanditat oder auch die Mailboxen und damit der Mailserver

 

[Moritz86]

Das NAS befindet sich in einem lokalen Netz und soll nur zum Ablegen von Daten herhalten. Das bedeutet keine Verschlüsselungen, keine Anwendungen oder was das NAS noch so mitbringt sollen genutzt werden. Es soll als einfacher Speicherort genutzt werden. Hierzu wollte ich zunächst einen gemeinsamen Ordner erstellen der gemapt wird und in dem liegen dann weitere Ordner jedoch mit unterschiedlichen Berechtigungen...diese kann man leider nicht vergeben da die Berechtigung des gemapten Laufwerks gelten. Wenn ich nun den Personen nur Leseberechtigungen geben möchte in dem Root des gemapten Ordners, können sie in den unteren Ordnern nicht mehr schreiben bzw. ich kann keine Berechtigungen verteilen.

Somit habe ich einen gemeinsamen Ordner erstellt auf dem alle RW können, einen gemeinsamen Ordner in dem nur einige Benutzer RO und andere RW besitzen, und das mehrmals.
Scheitern tut dies allerdings an dem mappen der Laufwerke, da die Nutzer unterschiedliche Rechte haben. Könnte ich eine Batch so schreiben, dass diese erkennt welcher Benutzer in Windows angemeldet ist und nur seine Laufwerke mapt auf die er eine Berechtigung hat wäre mein Problem gelöst. Doch Leider wird bei den Laufwerken, auf denen der Nutzer keine Rechte hat ständig nach Nutzer und Passwort gefragt.

Mit der Benutzer-Homer aktivierung habe ich ein Laufwerk geschaffen für jeden Benutzer abhängig, doch fehlt mir eben die Eigenschaft, dass die drei Benutzer in diesen Homes schreiben sollen. Das Lesen der drei Nutzer in die anderen Homes funktioniert schon.
DS Manager --> Ordner Homes Privilegieneinstellungen --> Lok. Benutzer --> RW bei den drei Nutzern....sie können nur Lesen.

 

[jahlives]

Schau mal in die Datei /usr/syno/etc/smb.conf wie genau die Share home definiert ist. Allenfalls könntest du mit dem write_list und valid_user Parameter erreichen, dass mehrere Benutzer schreibend auf die Share zugreifen können. Das Problem ist auch dass es zwei unabhängige Rechtesysteme gibt. Zum einen die Rechteverwaltung der Applikation (in diesem Falle also Samba) und zum andern die effektiven Rechte auf dem Filesystem. Im DSM kannst du nur die Rechte der Applikation einstellen. Wenn das Dateisystem aber den Zugriff für den User nicht erlaubt, dann ist es egal was du im DSM an Rechten gesetzt hast, dann kommst du niemals rein (du müsstest dann also an den Rechten im Dateisystem drehen, damit diese den Zugriff, den Samba ja erlaubt, auch zulassen)

 

[jahlives]

Was du machen könntest wäre es die drei fraglichen User in eine gemeinsame Gruppe zu packen, wo nur sie drin sind. Dann musst du für die entsprechenden Homeverzeichnisse Gruppenrechte einrichten, damit die fraglichen User schreiben können
z.B.

chgrp DEINE_GRUPPE /volume1/homes/USER
chmod 0770 /volume1/homes/USER

dann bei der Freigabe homes in smb.conf unter valid_users @DEINE_GRUPPE eintragen und dasselbe auch bei write_list

 

[Moritz86]

Ok ich werd das nächste Woche ausprobieren, denn ich darf nun net länger arbeiten, weil ich Azubi bin...das gehört zu meinem Abschlussprojekt und die drei fraglichen Benutzer sind Ausbilder die in die Homes der Azubis natürlich auch schreiben wollen.

Ich melde mich z.Zt. immer über Telnet ein mit dem Admin, aber kenne mich auch net so gut damit aus und weiss nicht mal wie ich /usr/syno/etc/smb.conf da reinschauen soll
Tschuldige meine Noobness

Dein letzter Beitrag hört sich nah an der Lösung meines Problems an, wenn ich genau wüsste was ich nach dem Anmelden über Telnet einzugeben habe.
Die Gruppe "Admin Ausbilder" habe ich soeben noch auf dem DSM erstellt und die drei Ausbilder reingepackt.

Vielen lieben Dank für deine Hilfsbereitschaft und ein schönes Wochenende

 

[jahlives]

Anmeldung via telnet oder ssh mit Username root und PW des Admins. Um Dateien auf der DS anzuschauen gibt es z.B. den Editor vi, der auf der DS per default bereits installiert ist.
Mach aber vorher eine Sicherungskopie der Datei, BEVOR du irgendetwas daran änderst

cp /usr/syno/etc/smb.conf /usr/syno/etc/smb.conf.bak

dann hast du immer eine funktionierende Kopie der Datei, die du zurückspielen kannst wenn etwas in die Hose gegangen ist
Mehr zum Thema telnet & Co findest du in unserem Wiki

 

[Moritz86]

Hi Jahlives, ich hab es letzten Freitag abgeschlossen und das erfolgreich. Es funktioniert nun, d.h. die drei Ausbilder können nun lesen und sogar schreiben in den Homeverzeichnissen der Auszubildenden.

z.B.

chgrp DEINE_GRUPPE /volume1/homes/USER
chmod 0770 /volume1/homes/USER

Das war der entscheidende Punkt, der mich zum Ziel gebracht hat. Vielen Dank!!!
Hatte die Gruppe in der DSM erstellt und über Telnet deinen Code reingehackt zu den einzelnen Benutzer/Homeordnern.