in Win7 eingbundenes Netzlaufwerk(Linux) ignoriert Zugriffsrechte

[brichun]

Hallo zusammen,

in Win7 wurde ein Netzlaufwerk aus einem Linux System eingebunden. Auf dem Netzlaufwerk befindet sich eine Datei die User A gehört. Niemand außer User A darf diese Datei lesen,schreiben, ausführen. Jetzt wird über Win7 auf diese Datei zugegriffen, unerwarteterweise werden die Berechtigungen ignoriert. Verblüffenderweise sogar dann, wenn User B drauf zugreift.


Bisher stellte ich mir den Zugriff wie folgt vor.

Zum einbinden des Netzlaufwerks loggt sich Win7 (mit passendem Benutzer &Passwort) bei Linux ein. Linux zeigt Win7, nach Berücksichtigung aller Rechte, die Daten unterhalb des angefragten Pfades. Erst dann ist das Laufwerk in Win7 sichtbar eingebunden. Win7 fragt bei jeder gewünschten Änderung bei Linux nach. Ob die Anfrage gewährt wird, entscheidet Linux unter Berücksichtigung der Zugriffsrechte. Erst dann wird eine Aktion durchgeführt.


Wenn der Zugriff über ein SCP Protokoll basiertes Programm stattfindet, funktioniert es wie oben beschrieben. Über welches Protokoll greift Win7 auf das Netzlaufwerk zu?

Kann mich jemand aufklären?

Thx

 

[brichun]

Neue Erkenntnisse....


Sobald eine Datei Lesezugriff (rwxr- - - -) hat. Eröffnet es über "Win7->Netzwerk" automatisch die Schreibrechte. Die Schreibrechte(inWin7) sind explizit nicht freigegeben. Kann es sein, dass Win7 die Rechteverteilung inkonsequent nutzt?

 

[Rijndael]

Ist die Windows ACL für das Netzlaufwerk auf der DS aktiviert(ist ab DSM 5 standardmäßig der Fall glaub ich)? Ich denke die ACL Einträge sind ggf. ausschlag gebend für die Zugriffsrechte und nicht die Linux Dateirechte (rwxr- - - -).
Klick mal aus dem Windows Explorer mit der rechten Maustaste auf die angesprochene Datei -> Eigenschaften -> Sicherheit und schau was da steht.
Alternativ geht das auch ähnlich in der Filestation.


Edit:
Typo

 

[brichun]

Ist die Windows ACL für das Netzlaufwerk auf der DS aktiviert(ist ab DSM 5 standardmäßig der Fall glaub ich)

Hab die Einstellung nicht finden können. Dafür aber folgendes





Die Standardbefügnisse verbieten mir jetzt den Inhalt zu ändern. Dafür darf unberechtigterweise der Benutzer B die Datei umbenennen und sogar löschen.

WhatTheF***

 

[Rijndael]

Hm. Du hast DSM >= 5.0, d.h. der gemeinsame Ordner verwendet Windows ACL(wenn du ihn per DSM angelegt hast). Schau dir genau an was da drin steht(siehe letzten Beitrag).
Ansonsten bleibt zu beachten, dass Benutzer der DS Administratoren Gruppe(Admin, root) u.U. mehr Rechte haben als in der ACL steht.

Deine Vorstellung, dass Windows selber entscheiden kann, ob es die Rechte der DS beachtet oder missachtet ist auch falsch. Der Fileserver entscheidet ob ein Zugriff gewährt wird oder nicht.
Wenn deine Windows Maschine Zugriff hat, ist auf der DS etwas falsch eigestellt.

Ich würde den Haken bei "Standard Unix-Befugnisse anwenden" entfernen und die Zugriffregelung komplett über die ACL regeln. Das kannst du in der Systemsteuerung der DSM für die komplette Freigabe machen(Systemsteuerung -> Gemeinsamer Ordner -> Rechtsklick auf Ordner -> Bearbeiten -> Berechtigungen) oder in der Filestation sogar für Unterordner und Dateien(Vorgehen ist ähnlich).
Alternativ geht das auch aus Windows raus(siehe letzten Beitrag)

Wenn du Unix Befugnisse und Windows ACL gleichzeitig verwendest, wird es unübersichtlich, was wann wie warum angewendet wird.

In der Hilfe steht zu dem Punkt "Standard Unix Befugnisse anwenden":

Standard-UNIX-Berechtigungen anwenden:
Durch die Aktivierung dieser Option gelten die Standard-UNIX-Berechtigungen beim Hochladen oder Erstellen von Dateien und Ordnern. Die UNIX-Berechtigung ist 744 für Dateien und 755 für Ordner. Wenn diese Option deaktiviert ist, ist die UNIX-Berechtigung für Dateien und für Ordner 777.

Hinweis:
Führen Sie für gemeinsame Ordner, für die Windows ACL aktiviert ist (alle gemeinsamen Ordner, außer „photo“ und Freigaben auf externen Festplatten), den Befehl chmod auf Ihrem Linux- oder FTP-Client aus, um die Ordner- und Dateiberechtigungstypen von Windows ACL auf UNIX zu ändern.
Die Aktivierung dieser Option kann zu inkonsistenten Berechtigungen zwischen verschiedenen Protokollen führen. Um Inkonsistenzen zu vermeiden, empfehlen wir, diese Option deaktiviert zu lassen.

 

[brichun]

Hab ein temporäres Workarround gefunden.

ACL wird in DMS Version >=5.0 automatisch verwendet. Konnte auch keine Möglichkeit finden um diese auszuschalten. Mein Testuser hat nur die Leserechte zugeordnet bekommen. Hab die Unix Standardbefugnisse entfernt.

Dabei ist mir aufgefallen, dass mein Testverzeichnis die Zugriffsechte (777) hatte. Damit durfte jeder Benutzer der Gruppe User ins Verzeichnis schreiben. Mit dieser Einstellung konnte eine Textdatei trotz der Rechte (700) umbenannt und gelöscht, jedoch inhaltlich nicht verändert werden.

Die Logik dahinter bleibt mir ein Rätsel. Wo ist der Unterschied zwischen "Dateinamen umbenennen" und " Datei inhaltlich ändern"? Gibt es vielleicht feinere Berechtigsstufen als die typischen Read Wright Execute Rechte?

Also die Ordnerrechte auf (755) geändert und es tut wie es soll.

 

[Rijndael]

Wo ist der Unterschied zwischen "Dateinamen umbenennen" und " Datei inhaltlich ändern"? Gibt es vielleicht feinere Berechtigsstufen als die typischen Read Wright Execute Rechte?

Die Windows ACLs sind wesentlich feiner und lassen sich wesentlich fexibler gestalten. Ich hab dich glaub ich oft genug darauf hingewiesen sie dir mal anzusehen

Die Logik dahinter bleibt mir ein Rätsel.
[...]
Also die Ordnerrechte auf (755) geändert und es tut wie es soll.

Ich halte das für gefährlich. Du hast nicht wirklich verstanden was jetzt passiert ist. Dass gerade das passiert was du gerne hättest, kann kompletter Zufall sein und sich in einem anderen Szenario anders darstellen.

Wenn du einen gemeinsamen Ordner ohne Windows ACL erstellen möchtest, habe ich durch Zufall folgenden Workaround rausgefunden:
- sich per SSH auf der DS einloggen
- mit mkdir unter dem gewünschten Volume einen Ordner erstellen, z.B. "mkdir /volume1/dings"
- DS rebooten
Nachdem Reboot hat DSM erkannt, dass da ein neuer Ordner ist und bindet ihn automatisch als gemeinsamen Ordner ein, allerdings ohne Windows ACL(kann man umwandeln wenn man möchte)

 

[brichun]

Namasté

Die Windows ACLs sind wesentlich feiner und lassen sich wesentlich fexibler gestalten. Ich hab dich glaub ich oft genug darauf hingewiesen

Bin schwer von Begriff und übe mich täglich in Geduld.

Du hast nicht wirklich verstanden was jetzt passiert ist

Noch nicht, es wird aber von Tag zu Tag mehr.

Ich fasse mal zusammen was bisher angekommen ist.

ACL

-> "Access Control List" ist eine Windwoserfindung
-> feinere Zugriffssteuerung als bei standard Unix/Linux
-> wird bei Syno ab DSM >5.0 automatisch verwendet
-> bei Verwendung beider Zugriffssteuerungstechniken (Win & Linux) kann es zu Konflikten kommen
-> die Rechtesteuerung funktioniert aus Win7 über RechteMaus->Eigenschaften->Sicherheit oder aus der Syno direkt, jedoch nicht durch linuxbasierte Kommandozeile chmod, chown etc

Hat es Möglichkeiten die ACL Zugriffsrechte auch über Kommandozeile zu steuern?

Thx bisher

 

[dil88]

Namasté

-> wird bei Syno ab DSM >5.0 automatisch verwendet

..., wenn man einen neuen gemeinsamen Ordner erstellt. Bei gemeinsamen Ordnern, die mit einem DSM vor 5.0 erstellt wurde, bleibt m.W. das alte Rechtemodell erhalten, es sei denn, man konvertiert den gemeinsamen Ordner unter Systemsteuerung / Gemeinsamer Ordner / Aktion / Konvertieren zu Windows ACL.

 

[Rijndael]

Namasté



..., wenn man einen neuen gemeinsamen Ordner erstellt. Bei gemeinsamen Ordnern, die mit einem DSM vor 5.0 erstellt wurde, bleibt m.W. das alte Rechtemodell erhalten, es sei denn, man konvertiert den gemeinsamen Ordner unter Systemsteuerung / Gemeinsamer Ordner / Aktion / Konvertieren zu Windows ACL.

Jep, das stimmt. Ansonsten kann man auch, wie ich oben beschrieben habe, relativ einfach unter DSM >= 5.0 das alte Rechtemodell "erzwingen".

 

[dil88]

Cool, den kannte ich noch nicht. Danke!