NFS, User und Gruppen

Status
Für weitere Antworten geschlossen.

olifri

Benutzer
Mitglied seit
18. Nov 2009
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich glaube ich habe ein grundlegendes Verständnisproblem, in welcher Weise man NFS auf einer DS nutzen soll.

Der Reihe nach:
Lege ich im DSM ein volume1/Verzeichnis an ist dieses dann 777 root.root. Ich habe per DSM keine andere Möglichkeit gefunden, gezielt zu "chownen" und zu "chmoden", sehe ich das richtig? Wenn ich jetzt auf meinen Linuxmaschinen nach /mountpoint mounte, dann ist /mountpoint 777 root.root. Ich will eigentlich das ich Eigentümer und Rechte von /mountpoint, besser noch von /verzeichnis gezielt festlegen kann.

Auf obige Weise habe ich in meiner naivität versucht, die /home/user auf die DS auzulagern, aber das scheitert weil /home/user Eigentum von user und 775 sein muß. So weit so schlecht!

Als nächstes habe ich dann in die DS "geshellt" und so /volume1/verzeichnis angelegt, und chmod und chown angewendet. Das funktioniert wiederum nicht, weil uids und gids auf der DS und den Clients verschieden sind, und nach dem mounten /mountpoint mit einer unbekannten uid und gid angezeigt wird. Wieder Essig mit den Rechten. Man sollte beim Anlegen der user und Gruppen auf der DS die uid und gid beeinflussen können. Kann man per DSM nicht und nach herumfummeln in /etc/passwd und /etc/group waren dann die User und Gruppen im DSm nicht mehr sichtbar. Durch Forenrecherche weiß ich jetzt auch, warum.

Das ganze scheint mir keinen Sinn zu ergeben, es kann doch nicht Sinn der Sache sein, ein Linux als Server, nur Linuxclients und dann Samba benutzen?

Ich habe hier wohl ein grundsätzliches Verständnisproblem, wie sich das die Erfinder gedacht haben. Ich möchte ein Verzeichnis auf DS mit gezielten Attributen (chown und chmod) erstellen, freigeben und mounten, do das es mit diesen Rechten wieder am /mountpoint erscheint. Ist das möglich, mit vertretbarem Aufwand, oder unsinnig weil es eigentlich ganz anders beabsichtigt ist?

Ich freue mich auf viel lehrreiches von Euch.

Der Linux und DS Rookie
Oli
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Hallo,

ich glaube ich habe ein grundlegendes Verständnisproblem, in welcher Weise man NFS auf einer DS nutzen soll.

Der Reihe nach:
Lege ich im DSM ein volume1/Verzeichnis an ist dieses dann 777 root.root. Ich habe per DSM keine andere Möglichkeit gefunden, gezielt zu "chownen" und zu "chmoden", sehe ich das richtig?

Man kann schon die Eigentümer-/Gruppenschaft ändern, aber dann würde man das Samba-Konzept unterlaufen. Die Verzeichnisse, die man per DS-Manager anlegt, sollen ja vom smb-Server verwaltet werden. Der smb-Server startet unter 'root' und hat in der smb..conf die Rechtestruktur, welche smb-Clients sehen. Also Finger Weg von der Eigentümer-/Gruppenschaft bei diesen Verzeichnissen oder es geht bald nichts mehr richtig.

Wenn ich jetzt auf meinen Linuxmaschinen nach /mountpoint mounte, dann ist /mountpoint 777 root.root. Ich will eigentlich das ich Eigentümer und Rechte von /mountpoint, besser noch von /verzeichnis gezielt festlegen kann.

Dies ist in meinen Augen ein falsches Veständnis von NFS. Ursprünglich war das NFS dazu gedacht, dass man oder Workstations 'root' war und nun auf anderen Workstations als 'root' zugreifen wollte. Daher gibt es erstmal keine Userrechtevergabe unter NFS.

Das ganze scheint mir keinen Sinn zu ergeben, es kann doch nicht Sinn der Sache sein, ein Linux als Server, nur Linuxclients und dann Samba benutzen?

Ich kann dich verstehen ... will dir aber keine großen Hoffnungen machen.

Warum willst/musst eigentlich mit Linux und NFS arbeiten?

Itari
 

olifri

Benutzer
Mitglied seit
18. Nov 2009
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Hallo Itari,

>Warum willst/musst eigentlich mit Linux und NFS arbeiten?

Ich denke, das NFS der natürliche Weg ist um Linux mit Linux zu verbinden und das Samba ein Linux-Zuckerle und ein Vorbild in Sachen Toleranz ist um den störrischen Windows-rechnern nicht die Tür vor der Nase zuzuschlagen. Das man jetzt auf Samba zurückgreift um zwei Linux-rechner vernünftig miteinander zu verbinden, enttäuscht mich ungeheur. Oder aber, ich habe weder den Sinn von NFS noch Samba richtig verstanden.

Aber ich glaube Euch natürlich und lerne gerne dazu.

Oli
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Der Vorteil von Samba ist, dass du eine "richtige" Benutzerverwaltung hast, was du mit nfs nicht hast. Bei nfs wird immer dem gesamten Clientrechner vertraut, da die exports der Freigaben auf IPs beruhen. Bei Samba kannst du viel differenzierter einstellen und auf der gleichen IP unterschiedliche Rechte für unterschiedliche Benutzer festlegen.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Hallo Itari,

>Warum willst/musst eigentlich mit Linux und NFS arbeiten?

Ich denke, das NFS der natürliche Weg ist um Linux mit Linux zu verbinden und das Samba ein Linux-Zuckerle und ein Vorbild in Sachen Toleranz ist um den störrischen Windows-rechnern nicht die Tür vor der Nase zuzuschlagen.

Das sehe ich im Grunde auch so. Meine Frage war etwas grundsätzlicher. Ich wollte wissen, ob es einen spezielle Grund gibt für den Linux-Einsatz. Manchmal erscheint durch den Use-Case ein Problem in einem anderen Licht.

Das man jetzt auf Samba zurückgreift um zwei Linux-rechner vernünftig miteinander zu verbinden, enttäuscht mich ungeheur. Oder aber, ich habe weder den Sinn von NFS noch Samba richtig verstanden.

Aber ich glaube Euch natürlich und lerne gerne dazu.

Oli

Zu der Geschichte mit NFS. Du kannst probieren, ob du einen NFS per IPKG dazu überreden kannst, hier mehr auf die User-Rechte einzugehen. Allerdings kannst das nicht mit dem DS-Manager realisieren, sondern nur auf der Kommandozeile.

Ansonsten einfach die Bemerkung: Wenn du Wünsche für andere Leistungsmerkmale einer DS hast, dann schreib dem Synology-Support eine E-Mail. Die nehmen das gerne auf. Hier in unserem Forum sind nur Leute, die eine DS benutzen ...

Selbstverständlich kannst auch, wenn du eine Lösung von einem anderen Linux-Rechner her kennst, versuchen diese auf die DS zu bringen ... wir freuen uns alle, wenn etwas Nützliches dazu kommt.

Itari
 

olifri

Benutzer
Mitglied seit
18. Nov 2009
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
>Hier in unserem Forum sind nur Leute, die eine DS benutzen ...

Ja, is mir schon klar;-)

>Selbstverständlich kannst auch, wenn du eine Lösung von einem anderen >Linux-Rechner her kennst, versuchen diese auf die DS zu bringen ... wir >freuen uns alle, wenn etwas Nützliches dazu kommt.

Oh, Dein Vertrauen in meine Linux-Fähigkeiten schmeicheln mir sehr, es wird mir ein Ansporn sein, bald etwas zu diesem Forum beitragen zu können.

Zurück zum Thema: Ich könnte mir auch vorstellen, per Samba zu arbeiten, aber soviel ich weiß, ist dieses Samba für die Dateiattribute nicht transparent, oder? Anders rum: Wenn das Verzeichnis gemountet ist, welche Attribute hat es dann? Kann ich das gezielt beeinflussen (per Skript nach dem mounten? Ist umständlich, oder?) Und wie sind dann Attribute der enthaltenen Verzeichnisse/Dateien? Wenn diese Dinge so wären wie wenn's NFS wäre, dann könnte ich den "Samba-Tunnel" verschmerzen. Hintergrund ist nach wie vor der, das ich jeden Users Homeverzeichnis auf die DS auslagern will, und /home und diverse Dateien darin müssen ganz bestimmte Rechte und Eigentümer haben, damit alles funktioniert (Stichwort ./dmrc wen's interessiert). Gibt es dazu einen Lösungsvorschlag?

Danke für die Diskussion und die Hilfe

Oli
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
>Hier in unserem Forum sind nur Leute, die eine DS benutzen ...

Ja, is mir schon klar;-)

>Selbstverständlich kannst auch, wenn du eine Lösung von einem anderen >Linux-Rechner her kennst, versuchen diese auf die DS zu bringen ... wir >freuen uns alle, wenn etwas Nützliches dazu kommt.

Oh, Dein Vertrauen in meine Linux-Fähigkeiten schmeicheln mir sehr, es wird mir ein Ansporn sein, bald etwas zu diesem Forum beitragen zu können.

Zurück zum Thema: Ich könnte mir auch vorstellen, per Samba zu arbeiten, aber soviel ich weiß, ist dieses Samba für die Dateiattribute nicht transparent, oder? Anders rum: Wenn das Verzeichnis gemountet ist, welche Attribute hat es dann? Kann ich das gezielt beeinflussen (per Skript nach dem mounten? Ist umständlich, oder?) Und wie sind dann Attribute der enthaltenen Verzeichnisse/Dateien? Wenn diese Dinge so wären wie wenn's NFS wäre, dann könnte ich den "Samba-Tunnel" verschmerzen. Hintergrund ist nach wie vor der, das ich jeden Users Homeverzeichnis auf die DS auslagern will, und /home und diverse Dateien darin müssen ganz bestimmte Rechte und Eigentümer haben, damit alles funktioniert (Stichwort ./dmrc wen's interessiert). Gibt es dazu einen Lösungsvorschlag?

Danke für die Diskussion und die Hilfe

Oli
Zum ersten hat Samba eine eigene Berechtigungsverwaltung (Rechteeinstellung pro Share möglich und User/Gruppe). Zum anderen verlässt sich Samba auf das unterliegende Dateisystem und dessen Berechtigungen: Wenn also User A gemäss Samba Config Zugriff auf die Share hat, auf dem Dateisystem aber nur der Zugriff für User B erlaubt ist, dann wird der Zugriff von A scheitern.
 

kc853

Benutzer
Mitglied seit
18. Okt 2009
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Nabend,

ist für das geschilderte Problem nicht die Benutzer-Home Funktion der Syno zuständig? Die erzeugt doch in /volume1/homes für jeden Syno User ein privates Home Verzeichnis, das ihm und der Gruppe (zB users) gehört.

Könnte mir vorstellen: Benutzer-Home aktivieren, auf der Syno gewünschte User und Gruppen erzeugen, jeweilige uid und gid ermitteln, auf dem NFS Client passende User und Gruppen mit jeweiligen uid und gid von der Syno erzeugen, jeweiliges User Verzeichnis aus /volume1/homes nach /home auf dem Client mounten. Eventuell schon vorhandene Dateien im home müssen natürlich noch behandelt werden (auf den neuen User umschreiben o.ä.)

Gruß kc853
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Nabend,

ist für das geschilderte Problem nicht die Benutzer-Home Funktion der Syno zuständig? Die erzeugt doch in /volume1/homes für jeden Syno User ein privates Home Verzeichnis, das ihm und der Gruppe (zB users) gehört.

Könnte mir vorstellen: Benutzer-Home aktivieren, auf der Syno gewünschte User und Gruppen erzeugen, jeweilige uid und gid ermitteln, auf dem NFS Client passende User und Gruppen mit jeweiligen uid und gid von der Syno erzeugen, jeweiliges User Verzeichnis aus /volume1/homes nach /home auf dem Client mounten. Eventuell schon vorhandene Dateien im home müssen natürlich noch behandelt werden (auf den neuen User umschreiben o.ä.)

Gruß kc853
Und warum nutzt du dann nicht die User Homes über Samba? Nicht dass ich deinen "Hack" schlechtmachen will, aber ich sehe hier den Vorteil von nfs gegenüber Samba nicht wirklich :)

Gruss

tobi
 

kc853

Benutzer
Mitglied seit
18. Okt 2009
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
wie ich das nutze ist hier doch nicht das Thema ;)
Der Hauptvorteil von NFS ist (neben der Tatsache das es eben der normale Weg ist Linux Clients mit Linux Servern zu verbinden) die etwas höhere Geschwindigkeit beim Transfer, denke ich.

Gruß kc853
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hallo,
bei Samba mußt du für jeden User auf jedem Client die individuelle Freigabe einrichten, bei nfs mußt du auf jedem Client nur beim Systemstart /volume1/homes mounten. Jetzt müßte die DS nur noch NIS+ Server spielen können.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Und was hindert mich dran mit meinem Linux Laptop und einem Kasten Bier bei dir vorbeizukommen, dich abzufüllen und dann in aller Ruhe einfach solange UIDs durchzuprobieren bis ich deinen User auf der DS finde? Bei 216 (65536) Möglichkeiten muss ich möglicherweise zwei Kästen Bier mitbringen ;)

Gruss

tobi
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Und was hindert mich dran mit meinem Linux Laptop und einem Kasten Bier bei dir vorbeizukommen, dich abzufüllen und dann in aller Ruhe einfach solange UIDs durchzuprobieren bis ich deinen User auf der DS finde? Bei 216 (65536) Möglichkeiten muss ich möglicherweise zwei Kästen Bier mitbringen ;)

Du kannst das gerne bei mir probieren ... brauchst auch nur einen Kasten Bier mitbringen, dafür aber ein gutes Stück Käse :D

Itari
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hallo,
Und was hindert mich dran mit meinem Linux Laptop und einem Kasten Bier bei dir vorbeizukommen, dich abzufüllen und dann in aller Ruhe einfach solange UIDs durchzuprobieren bis ich deinen User auf der DS finde? Bei 216 (65536) Möglichkeiten muss ich möglicherweise zwei Kästen Bier mitbringen ;)
da mußt Du aber erst mal warten bis ich einen Kasten weg habe und eventuell gewillt sein könnte Dir die IP's zu verraten die überhaupt mounten dürfen und da ich das dann doch nicht mache (kann Zunge nicht mehr kontrolliert bewegen) trinkst Du aus Frust den 2. Kasten aus:D.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hallo,

da mußt Du aber erst mal warten bis ich einen Kasten weg habe und eventuell gewillt sein könnte Dir die IP's zu verraten die überhaupt mounten dürfen und da ich das dann doch nicht mache (kann Zunge nicht mehr kontrolliert bewegen) trinkst Du aus Frust den 2. Kasten aus:D.

Gruß Götz
Dann nehm ich einen Tanklaster voll Bier mit. Bis du den ausgesoffen hast habe ich alle deine möglichen IPs durch. Ich könnte dir auch eine direkte Bierinfusion legen, weil meist so nach einem halben Laster kann man das Glas nicht mehr halten. Will ja nicht dass du kleckerst :D ;)
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hi Tobi,
ich glaube wir sollten mal zur Alkoholberatungsstelle gehen:).
Zurück zum Thema.
Ein kleiner Ausflug in die Unix-Welt.
Ich betreibe einige FreeBSD Server, einen Linux-Server, einen Linux-Client und eine Sun als Mailserver (rein nostalgisch, ich kann einfach einem 13 Jahre problemlos laufendem System nicht den Stecker ziehen), der Rest sind XP und Vista Clients.
Es gibt einen NIS-Master, einen NIS Slave und NIS Clients. Am Master wird die komplette User-Verwaltung vorgenommen (/var/yp/master.passwd), per make skript diese als NIS Tabellen angelegt und propagiert, dem Slave angewiesen die aktuellen Daten zu übernehmen. Die anderen Server werden in die NIS Domain integriert und fügen am Ende ihrer passwd ein +:*::::: ein (analog für groups, networks, services usw.). Bedeutet, wenn du hier (passwd) nicht fündig wirst, frag den NIS Master. Somit hast du auf allen Systemen alle User syncron, mountest ein Home-Verzeichnis unter dem alle User-Verzeichnisse liegen.

Gruß Götz
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hei Goetz

das klingt nach ziemlich viel Administration :)
Aber würde diese Konstruktion verhindern, dass man einfach alle IPs im LAN durchprobiert bis man ein nfs Verzeichnis mounten darf? Dann einfach noch mit UID-GID behaupten "Hier ist Götz". Ich kenne mich im Unix-Linux Umfeld zu wenig aus, aber für mich heisst es mit korrekter IP und korrekter uid kriege ich Zugriff auf die nfs Share. Oder stelle ich mir das zu einfach vor?

Gruss

tobi
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
13.998
Punkte für Reaktionen
264
Punkte
373
Hi Tobi,
Aber würde diese Konstruktion verhindern, dass man einfach alle IPs im LAN durchprobiert bis man ein nfs Verzeichnis mounten darf?
Natürlich nicht, aber wer tummelt sich in d(m)einem privaten Netz? Da sind wir wieder beim Allllohol:D

Gruß Götz
 

gobbli

Benutzer
Mitglied seit
15. Aug 2012
Beiträge
73
Punkte für Reaktionen
0
Punkte
6
Ok, konnte es doch noch lösen per Console. Da ich für jede Dreambox eine Gruppe habe, konnte ich es mit dem Befehl "setquota -g" regeln. Leider ohne E-Mail Benachrichtigung, aber vielleicht gibts da ja noch ne Lösung. Ich hoffe, dass es in den zukünftigen Firmware mal eine Option dafür gibt.

Hab als Beispiel mal folgendes gemacht:

Ich möchte der Gruppe Dreambox01 einen Quota Softlimit von 180GB Soft und ein Hardlimit von 200GB für den Mountpoint /volume1 setzen

Code:
setquota -g dreambox01 188743680 209715200 0 0 /volume1/

Code:
DiskStation> quota -g dreambox01 -s
Disk quotas for group dbk (gid 65537): 
     Filesystem              blocks    quota  limit grace   files   quota   limit grace
/dev/mapper/vol1-origin
                            19425M    180G    200G           109       0         0
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat