NFS-Permissions / Group-ID

[zaphod]

Hallo miteinander,

wenn ich im DSM2.1-832 auf meiner DS207+ neue Benutzergruppen anlege, erhalten diese Group-ID's größer als 65535.
Wenn ich nun per NFS auf freigegebene Ordner zugreifen möchte (wobei es offensichtlich von der Weboberfläche her nicht möglich ist, für diese Ordner keine SMB-Freigabe zuerstellen...), habe ich das Problem, dass nicht mehrere User auf die gleiche Datei zugreifen können, weil ich auf dem Linux-Client (openSuSE 11.0) keine GID in diesem Bereich anlegen kann, und somit die Gruppenrechte der Datei nicht verwendet werden können.

Weiß zufälligerweise jemand, wie man der Weboberfläche beibringt, kleinere ID's für die Gruppen zu verwenden? Ich hab schon versucht, nach dem Anlegen die GID in /etc/group manuell zu ändern, aber dann kennt der DSM die Gruppe leider nicht mehr

 

[itari]

Frag doch mal beim Synology-Support per E-Mail an. Würde mich auch interessieren, wo man das einstellen kann.

Itari

 

[al13808]

Warum kannst du denn keine Group ID > 65535 anlegen? Das ist bei SUSE eine Einstellung im YaST unter Lokale Sicherheit -> Hinzufügen von Benutzern. Dort kann man den Wert erhöhen. (Diese Anmerkung gilt für openSUSE 11.1. Ich habe hier jetzt keine 11.0, aber die Einstellung habe ich auch schon unter SLES8 gemacht, somit gibt es die schon ewig. Ist nur evtl. in einem anderen Punkt versteckt.)

 

[zaphod]

Wow, da benutze ich SuSE schon seit -zig Jahren (ich glaube 6.3 oder so...), aber das wusste ich noch nicht.


Ich habe übrigens eine Antwort von Synology erhalten, das ging ziemlich schnell.

Meine Frage war:

Wrong NFS permissions / Shared NFS and SMB usage not possible

Files created via SMB with certain user/group permissions do have wrong permission settings on file system level, so e.g. files are readable via NFS for every user on the permitted client machines, but not writeable by other allowed users.

Additionally, Synology product uses group ID's greater than 65535 for group accounts created via DSM. This causes problems with Linux systems that do not support group ID's in that range. Due to this, Linux users using NFS can't access files created by other Windows users, because the required group settings cannot be created on the Linux client machine (openSuSE 11.0).

Als Antwort erhielt ich:

SMB uses user/group authentication and NFS is IP/network based auth. So permission sharing for these 2 protocol is a challenge. In order to let SMB user permission controlled by shared folder level, we have to set the default UNIX privilege to 777. However, you can change the UNIX permission on File Station (please upgrade to firmware 739)

About the group id greater then 65535 problem. As I tested on Fedora 6, it is not a problem even the group > 700000.

Den zweiten Teil der Frage hat ja al13808 gelöst, das Permission-Problem besteht allerdings weiterhin. Das kann man leicht ausprobieren, indem man eine Freigabe erstellt und diese für zwei User schreibbar konfiguriert. Die darüber angelegten Files haben dann die Permissions -rwxrwxrwx, so dass jeder NFS-User darauf schreiben kann.
Die Möglichkeit, Rechte auf Shares auf Unix-Ebene mittels Unix-Gruppen einzuschränken, wird leider nicht genutzt. Dabei müsste die GUI "nur" für jeden Share automatisch eine Unix-Gruppe erzeugen, in der alle User eingetragen sind, die dort schreiben dürfen, und die Permissions auf 775 beschränken.
Besser wäre es natürlich noch, wenn Synology Posix-ACLs in Verbindung mit NIS und NFSv4 verwenden würde, dann könnte man die Rechte wahrscheinlich 1:1 übertragen. Allerdings geht das über den Umfang eines "einfachen" NAS wohl schon deutlich hinaus.
In der Praxis heißt das jedoch, dass ein gemischter SMB/NFS-Betrieb auf demselben Share besser nicht verwendet werden sollte.

 

[itari]

Die Möglichkeit, Rechte auf Shares auf Unix-Ebene mittels Unix-Gruppen einzuschränken, wird leider nicht genutzt.

Das haben die Syno-Entwickler aber grad erklärt, warum sie das so machen. Ob das nun schön ist oder nicht ...

Dabei müsste die GUI "nur" für jeden Share automatisch eine Unix-Gruppe erzeugen, in der alle User eingetragen sind, die dort schreiben dürfen, und die Permissions auf 775 beschränken.

Vielleicht kennen sie diese Lösung nicht oder diese Lösung hat andere Nachteile.

Besser wäre es natürlich noch, wenn Synology Posix-ACLs in Verbindung mit NIS und NFSv4 verwenden würde, dann könnte man die Rechte wahrscheinlich 1:1 übertragen. Allerdings geht das über den Umfang eines "einfachen" NAS wohl schon deutlich hinaus.

Nun das ist ja nur eine Frage, welche Samba-Version eingesetzt wird und wie das dort unterstützt wird.

In der Praxis heißt das jedoch, dass ein gemischter SMB/NFS-Betrieb auf demselben Share besser nicht verwendet werden sollte.

Vielleicht auch noch einmal daran denken, dass es zwischen Samba und FTP eine enge Verflechtung gibt, welche man ja nachschlagen kann:

Synology> ftpd --help
smbftpd (http://www.twbsd.org)

Es kann ja sein, dass auch hierdurch gewissen Rahmenbedingungen gesetzt werden.

Itari