zugriffsrechte

[krusher]

habe die DS207+ und kann bei anlegen eines ftp account ja nur die rechte erstellen die mir das webinterface bietet.
lesen und schreiben.
nun möchte ich aber einem gewissen user lese schreibrechte geben, aber löschen oder aendern der datei verbieten. kann ich diese rechte mit der console einstellen? admin login mit putty und dann user xxx darf lesen, schreiben aber nicht löschen.

mit ftpclient über chmod kann ich dieses nicht für einzelne erstellen sondern ja nur global.

danke im vorraus

 

[Trolli]

Wer schreiben darf, darf auch löschen und ändern. Eine weitere Verfeinerung ist aber soweit ich weiß grundsätzlich bei FTP nicht möglich. Auch auf Ebene des Dateisystems gibt es nur die Rechte "lesen", "schreiben" und "ausführen".
-> http://de.wikipedia.org/wiki/Unix-Dateirechte

Trolli

 

[krusher]

habe halt vorher nur server mit Windows maschinen gehabt. Gene6 ftp da gabs halt diemöglichkeiten alles getrennt einzustellen. z.b. auch das resumen von dateien und so weiter

 

[Trolli]

Der FTP-Server auf den Synology Stations ist eng mit den Zugriffsrechten auf die Freigabeordner verknüpft. Ich kann mir nicht vorstellen, dass man da Serverseitig noch was konfigurieren kann. Es wird dieser FTP-Server verwendet: http://www.twbsd.org/enu/smbftpd/index.php

Trolli

 

[jahlives]

@krusher
Wenn du die Dateien im Verzeichnis beim erstellen jeweils mit den Rechten 0744 belegst kann nur der Eigentümer seine eigenen Dateien bearbeiten/löschen

 

[mr. winterbottom]

@krusher
Wenn du die Dateien im Verzeichnis beim erstellen jeweils mit den Rechten 0744 belegst kann nur der Eigentümer seine eigenen Dateien bearbeiten/löschen

Moin,

aber nur in der FileStation2.
Im Win-Explorer schon nimmer
Dem ist es egal wen die Datei gehört - Wieso auch immer.
Das ist genau das Thema das ich schon ansprach, aber leider keine Antwort mehr bekam

mr. winterbottom

 

[Trolli]

Hmmm - kann man das möglicherweise über entsprechende Modifizierungen in der smb.conf hinbekommen? Ich bin da in diesem Thema nicht wirklich sicher.
-> Erklärungen zur Samba-Konfiguration
-> Dateirechte in Unix-Systemen schön erklärt

Trolli

 

[jahlives]

Dem ist es egal wen die Datei gehört - Wieso auch immer.

Der Windows Explorer funzt über samba und samba hält sich sehr wohl an die untenliegenden Filesystemrechte von Unix/Linux. Wenn ich auf der Konsole als root eine Datei in /volume1/public und den Rechten 0644 erstelle, dann kann ich diese Datei als normaler Nutzer ned löschen. Nur root kann sie löschen. Ich habe zwar der ipkg Samba installiert, weiss darum ned ob es möglichweise einen Unterschied zum Default (Syno) Samba gibt.
Normalerweise kannst du in der smb.conf die Dateimaske vorgeben mit der neue Dateien erstellt werden sollten. (create mask)

 

[mr. winterbottom]

meine Test's bezogen sich von user to user

und da habe ich EINDEUTIG festgestellt das wenn user_1 in Win-Explorer eine Datei/Ordner, im Share-Ordner, erstellt dass user_2 diese löschen kann !!!!!
Da Beide schreibrechte haben.

Irgendwie scheint der "Ersteller" egal zu sein

mr. winterbottom

 

[mr. winterbottom]

muss mich nochmals zu Wort melden

Ihr könnt es glauben oder auch nicht.
Ich kann in Win VISTA ultimate im Explorer Dteien/Ordner gegenseitig löschen

nachfolgend noch meine Shares des ipkg-Samba.
Vielleicht liegt ja hier ein Fehler vor !

[global]
workgroup=HOMENET
server string=DS207pS
socket options=TCP_NODELAY
security=user
realm=*
passdb backend=smbpasswd
idmap uid=10000-110000
idmap gid=96000-196000
winbind enum groups=yes
winbind enum users=yes

[public]
invalid users=guest,nobody
valid users=user_1,user_2
path=/volume1/public
guest ok=no
browseable=yes
write list=user_1,user_2
writeable=yes
directory mask=755
create mask=644

mr. winterbottom

 

[jahlives]

Dann leg mal als user_1 ein File an und poste hier mal wie die Rechte gemäss Kommandozeile gesetzt werden

 

[krusher]

naja so toll die DS207+ und alle anderen NAS auch sind, einschränkung gibt es dort jede menge. muss wohl dann doch wieder auf eine PC lösung zurückgreifen um die vorteile der Konfiguration nutzen zu können.
mich stört halt nur das es keine guten ftp server gibt die sich dort bequem installieren lassen und in das webinterface einbinden lassen.
bin auch nicht sehr gut mit linux vertraut um da etwas zu modden.
vieleicht wird synology ja in der richtung mehr möglichkeiten bieten in zukunft.



das grösste problem was ich allerdings mit der DS habe ist das es kein monitoring tools (nicht die protokollfunktion von DS) gibt wo ich direkt sehen kann wer eingeloggt ist, und was genau passiert. naja evtl. "zukunft".

 

[mr. winterbottom]

DS207pS> ls -l /volume1/public
-rw-r--r-- 1 user_1 users 0 Jan 9 13:02 das_ist_die_datei_von_user_1.txt
drwxr-xr-x 2 user_1 users 4096 Jan 9 13:00 der_ordner_von_user_1
DS207pS>

mr.winterbottom

 

[mr. winterbottom]

So, ich habe hier mal an meinen Clientes nachgeschaut.

PC = user_1 = Win VISTA ultimate
Notebook = user_2 = Win VISTA ultimate

Also, folgendes.

Wenn jetzt user_1 im Explorer im Share "public" einen Ordner erstellt hat dieser Ordner, in VISTA, folgende Eigenschaften im Reiter "Sicherheit" >

> Jeder = Vollzugriff
> users (Unix Group\users) = Vollzugriff
> user_1 (DS207pS\user_1) = Vollzugriff

Dadurch kann an dem Ordner der user_1 erstellt hat jeder machen was er will.
Die Frage ist nur wer setzt hier welche Rechte. Da kann doch was nicht stimmen!

mr. winterbottom

 

[jahlives]

Egal was Windows an Rechten anlegen will, letztendlich entscheidet Samba anhand seiner Config, welche Rechte es auf die Platte schreibt. Dein ls zeigt, dass deine create mask von 0644 aktzeptiert wurde. Bist du denn wirklich 100% sicher, dass du nicht bei beiden Kisten als user_1 (Eigentümer) angemeldet bist? Oder eventuell als root?

 

[mr. winterbottom]

nun, ich habe user_1 und user_2 nur als alias angegeben!

die "echten" User heissen:

PC = joerg (ich)
NB = horst (Schwiegervater)

Am PC bin ich 101%ig als "joerg" angemeldet und am NB 101%ig als horst

Zum verständnis nochmal joerg (ich) erstelle einen Ordner und "horst" kann den am NB löschen und auch umgekehrt.

Glaube mir, ich würde es ja nicht schreiben wenn es nicht so wäre.


mr. winterbottom

 

[jahlives]

Hast du in der smb.conf mal folgendes auskommentiert?

idmap uid=10000-110000
idmap gid=96000-196000

dann smb neustarten und schauen ob das mit dem Löschen immer noch ned klappt

 

[a-jay]

So, ich habe hier mal an meinen Clientes nachgeschaut.

PC = user_1 = Win VISTA ultimate
Notebook = user_2 = Win VISTA ultimate

Also, folgendes.

Wenn jetzt user_1 im Explorer im Share "public" einen Ordner erstellt hat dieser Ordner, in VISTA, folgende Eigenschaften im Reiter "Sicherheit" >

> Jeder = Vollzugriff
> users (Unix Group\users) = Vollzugriff
> user_1 (DS207pS\user_1) = Vollzugriff

Dadurch kann an dem Ordner der user_1 erstellt hat jeder machen was er will.
Die Frage ist nur wer setzt hier welche Rechte. Da kann doch was nicht stimmen!

Das ist doch völlig normales Verhalten. Wenn zwei User auf ein Share (z.B. "Bilder") Schreibzugriff haben, dann gilt das auch für alle darin enthaltenen Dateien und Unterordner die darin erstellt werden (Rechte-Vererbung), egal wer die Dateien/Ordner erstellt. Das war schon immer so.

Abhilfe:
- Jedem User sein eigenes Share oder
- User_1 erstellt einen Ordner und entzieht anderen Usern die Rechte für diesen Ordner. Dass funktioniert aber wohl nicht in einer Umgebung, wie sie bei den meisten zu Hause anzutreffen ist. Hier fehlt nämlich die zentrale Benutzerverwaltung (Domäne/Active Directory)


A-Jay

 

[mr. winterbottom]

Hi jahlives,

ja habe ich schon zuvor gemacht.
Das ist so unglaublich diese Geschichte!

Aber ich probiere jetzt noch was und melde mich später nochmal.
Wenn Du vielleicht die Sache mit beobachten könntest?

mr. winterbottom

 

[jahlives]

Das ist doch völlig normales Verhalten. Wenn zwei User auf ein Share (z.B. "Bilder") Schreibzugriff haben, dann gilt das auch für alle darin enthaltenen Dateien und Unterordner die darin erstellt werden (Rechte-Vererbung), egal wer die Dateien/Ordner erstellt. Das war schon immer so.

Das darf aber in dem Fall wo ein File explizit mit 0644 angelegt ist nicht sein. Du hast wohl das Recht in das Verzeichnis zu schreiben, aber nicht auf die so angelegte Datei.
Erstell mal als root eine Datei in /volume1/public und setz die Rechte auf 0644. Dann versuche die Datei als ein Benutzer der auf /volume1/public Schreibrechte hat zu löschen. Das darf nicht klappen!