Datenraum für Kunden bereitstellen

[ReinerWolff]

Hallo,

ich möchte gerne folgendes Szenario realisieren:
- DiskStation steht in der DMZ
- für jeden Kunden wird ein Benutzer angelegt und der Kunde kann über seinen Account auf die FileStation zugreifen und nur seine Daten sehen
- Zugriff aus dem internen Netz auf alle Kundenordner

Aktuell bin ich gerade bei dem letzten Punkt und frage mich, wie ich das am besten mache.
Da ich SMB nicht in der Firewall freischalten wollte, suchte ich andere Wege.

Erster Versuch ging mit der CloudStation.
Ich dachte mir, synche doch einfach das homes-Verzeichnis auf den Fileserver und alles wird gut.
Leider kann ich in der CloudStation die Homes-Freigabe nicht zum Synchen auswählen.

Zweite Idee war dann das homes-Verzeichnis über WebDav einzubinden.
Da scheitere ich derzeit schon an der Webdav-Einrichtung (unerwarteter Netzwerkfehler).

Und nun dachte ich, ich frage hier erstmal bevor ich weitere Stunden in die Einrichtung von etwas stecke, was sich vielleicht anders viel eleganter lösen lässt.

Habt Ihr einen Hinweis für mein Szenario für mich?
Vielen Dank für Eure Unterstützung

Viele Grüße
Reiner

 

[TheGardner]

Trenn Dich mal davon das homes Verzeichnis für jedermann zu benutzen, nur weil Du das als Admin siehst! Das ist auch nur Dir (als Admin) vorbehalten um Deine User/Kunden ggf. zu reglementieren!
So wie sich das bei Dir anhört, hast Du die home Verzeichnisse schon angeschaltet, was bedeutet, dass jeder neu angelegte User (Kunde) damit sofort sein eigenes home Verzeichnis bekommt!
Damit hast Du dann schon, was Du eigentlich willst! Das home Verzeichnis sieht nur der Kunde selbst (bei Verbindung) und er kann es sehen durch:

- Ordnerzugriff (Netzlaufwerk, webDAV)
- CloudStation
- FileStation

je nachdem, ob Du ihnen das auch so freischalten willst!

Was Du nicht hast, wäre die Variante, dass vielleicht zwei oder drei Kunden einen Ordner sehen, oder sich einen teilen! Das funktioniert nicht, da jeder Kunde nur sein eigenen home Ordner sieht (und der Admin eben alle seine Schäfchen im homeS Ordner).
Um das zu lösen müsstest Du weitere Ordner (gemeinsame Ordner) anlegen, wo Du über SystemSteuerung - User (oder besser Gruppe) die jeweiligen Berechtigungen anlegst, dass eben zwei, drei oder alle Kunden einen bestimmten Ordner (z.B. "Upload") sehen, weil sie sich dort Daten teilen könnten oder Du ihnen diesen Ordner für gemeinsame Sachen zur Verfügung stellst!

Also um das nochmal in Gänze darzustellen. Du hast drei Kunden (Kunde A, Kunde B, Kunde C) und jeder von ihnen bekommt bei Usererstellung ein Verzeichnis "home" welches auch nur er sieht - für Dich -und nur für Dich- sieht das ganze so aus, dass Du als Admin ein homes Ordner hast, indem die Ordner Kunde A, Kunde B und Kunde C zu sehen sind.
Die Kunden selbst sehen nur ein Ordner home (welcher immer nur home heisst und nicht Kunde A oder Kunde B oder Kunde C).

Erstellst Du jetzt noch Ordner wie Eingang, Ausgang oder Bearbeitung und definierst zum Beispiel, dass Kunde A und Kunde B den Ordner Bearbeitung sehen sollen (und Kunde C nicht, dieser allerdings noch die Ordner Eingang und Ausgang), dann würden folgende Ordner bei den Kunden erscheinen:

Kunde A:
- home
- Bearbeitung

Kunde B:
- home
- Bearbeitung

Kunde C:
- home
- Eingang
- Ausgang


Für Dich als Admin würde sich das dann so darstellen:
- home
- homes
- Eingang
- Ausgang
- Bearbeitung

 

[ReinerWolff]

Vielen Dank für Deine ausführliche Antwort.

Die Ansicht, die Du für die Kunden A, B und C beschrieben hast, ist genau der Grund, warum ich das über das homes-Verzeichnis lösen will.
Dort werden die Berechtigungen so schön automatisch gesetzt.
Mein Ziel ist ja, dass es für die Kunden genau so aussieht, wie du es beschreibst, aus dem internen Netzwerk aber auf alle Kundenordner zugegriffen werden kann.

Die Kunden sollen die Filestation ja zum Datenaustausch mit den Mitarbeitern nutzen. Schon blöd, wenn die Mitarbeiter dazu Admin-Rechte auf der DS bräuchten.

Nachdem, was Du beschreibst, müsste ich also am sinnvollsten:
- die home-Verzeichnisse wieder abschalten, da die internen Mitarbeiter eh nicht auf alle Verzeichnisse der Kunden kommen und die Kunden ein Verzeichnis nur für sich, nicht benötigen.
- für jeden Kunden einen "gemeinsamen Ordner" anlegen und die Berechtigungen so einstellen, dass nur er darauf Zugriff hat. Dazu dann noch der Synch-User, um die Daten in das interne Netzwerk zu synchen.

Nachteil dieser Variante aus meiner Sicht:
- mehr Admin-Arbeiten bei der Benutzereinrichtung
Zusatzfrage: lässt sich die Einrichtung der Benutzer, des gemeinsamen Ordners und der Berechtigungen skripten?
- für jeden neu angelegten Kunden muss auch der Synch in das interne Netzwerk angepasst werden.
Es könnte so einfach sein mit dem homes-Verzeichnis, aber ich soll davon ja die Finger lassen ;-)

VG
Reiner

 

[TheGardner]

Hmm, habs in etwa verstanden wie es werden soll! Aber das ist echt alles konträr zu dem, wie Linux die Userverwaltung aufgebaut hat! Auch kann man die Usereinrichtung nur mit speziellen Kenntnissen skripten! D.h. man ist als Laie schneller die User händisch anzulegen, als rauszubekommen, wie ein Script am Ende 100% arbeitet! Es sei denn hier kommt jetzt gleich jemand um die Ecke und hat schon ein fertiges Script zur Userverwaltung.

Dir bleibt da echt nix weiter übrig als:

1. User alle anlegen (und home-Ordner abschalten)
2. für jeden Kunden einen eigenen gemeinsamen Ordner anzulegen
3. eine Gruppenverwaltung aufzubauen (z.B. Gruppe Einkauf kann bei Kunde A,B und F lesen und schreiben // Gruppe Wareneingang sieht Kunde C und D und werkelt in deren Ordnern rum)

Überblicken kann ich derzeit die Sync Sache noch nicht! Ich glaube nämlich, dass es nicht möglich sein wird, dass eine Gruppe Einkauf (bestehend aus mehreren Personen im internen Netzwerk) alle gleich die Ordner der Kunden A, B und F syncen kann! In meiner Theorie issts nur möglich, dass ein Mitarbeiter von Einkauf den Ordner des Kunden A syncen kann und ein anderer den Ordner des Kunden B.
In dieser Theorie wäre es bei mir so, dass ich die Cloud-Sache weglassen würde und den Mitarbeitern beim Einkauf (jedem) Netzlaufwerke für Kunde A, B und F erstellen würde, wo sie dann alle zeitgleich drin rumwerkeln könnten!

 

[ReinerWolff]

Vielen Dank für Deine Mühe.

Der Synch funktioniert eigentlich auf dem FileServer mit einem dafür eingerichteten DS\Synch-Benutzer. Dort kann ich mehrere 'gemeinsame Ordner' synchen lassen.

Den Mitarbeitern für jeden Kunden ein Laufwerk zu mappen funktioniert nicht, da die Zahl der Kunden deutlich größer ist, als die verfügbaren Laufwerksbuchstaben.

Ich hoffe dann mal auf den, der mit dem Skript um die Ecke kommt ;-)
Ein Skript wäre mir halt tausendmal lieber als die händische Einrichtung, da ich sicherstellen möchte, dass auch meine Kollegen bei der Einrichtung keine Fehler machen können.

Vielleicht habe ich Glück und es hat noch jemand eine andere Idee für die Lösung.
Ansonsten folge ich Deinem Vorschlag und richte für die Mandanten einzelne 'gemeinsame Ordner' ein.

VG
Reiner

 

[ReinerWolff]

Ok, keine weiteren Ideen zu dem Thema, also den Vorschlag von TheGardner umgesetzt...

Hierzu habe ich mir für das nachempfinden der Homes-Rechte-Ordner und das Abschalten der Berechtigungen auf dem jeweiligen Home-Ordner folgendes Skript zusammengebastelt:

# $1  -  Paraemter1 = Mandantennummer
# $2  -  Parameter2 = Firmenname
# $3  -  Parameter3 = Passwort
clear
echo "Übergeben wurden folgende Werte:"
echo "Parameter 1 (Mandantennummer): " $1
echo "Parameter 2 (Firmenname): " $2
echo "Parameter 3 (Passwort): " $3
#
echo Benutzer wird angelegt
synouser --add $1 $3 "$2" 0 "" 2
#
echo neuen Benutzer der Mandantengruppe hinzufügen
synogroup --member Mandanten $1
#
echo gemeinsamen Ordner hinzufügen
#synoshare {--add} sharename shareDesc sharePath userListNA userListRW userListRO
synoshare --add $1 "$2" /volume1/$1 "" "admin,CloudSync,$1" "" 0 0
#
echo Berechtigung auf das eigene home-Verzeichnis entfernen
chmod ugo= /volume1/homes/$1
#

Ein paar händische Dinge sind da noch übrig geblieben:
- der Benutzer soll sein Kennwort nicht ändern können (Haken konnte ich per synouser nicht setzen)
- Gemeinsamer Ordner konnte ich 3 Haken nicht setzen (Ordner ausblenden wenn keine Rechte, Papierkorb aktivieren und Papierkorb nur für admins)
- Freigabe in der Cloudstation aktivieren


Es hätte so einfach sein können, wenn die Cloud Station das Homes-Verzeichnis hätte synchen können.
Naja.
Damit auch die Einstellungen auf dem internen Fileserver im Cloud Station Client richtig eingestellt sind, habe ich mir ein kleines Programm geschrieben, dass die sys.sqlite-Datenbank des Clients entsprechend anpasst.
Durch diese Automatismen ist an allen Einrichtungsstellen sichergestellt, dass die Berechtigungen und die abzugleichenden Verzeichnisse nicht durcheinander gehen und immer gleich und richtig eingerichtet werden.

Thema abgeschlossen
Gruß
Reiner