FTP: Unterscheidung der Berechtigung zu SMB

Status
Für weitere Antworten geschlossen.

Silksmooth

Benutzer
Mitglied seit
23. Sep 2008
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
hallo erstmal,

hier kommt mal wieder ein grünschnabel reingeflattert. allerdings ganz grün auch nicht mehr, da ich immerhin ein bisschen erfahrung im thema mitbringe (hier steht noch ne gute alte buffalo linkstation II). ;)

nun aber zu meiner problemstellung bei der freigabe der ordner...

ich habe folgende ordner über das management UI angelegt:
  • downloads
  • incoming
weiter habe ich nun folgende nutzer:
  • admin (default)
  • ftp-nutzer
  • smb-nutzer

und die folgenden nutzergruppen:
  • users (default)
  • ftp-users

nun soll folgendes realisiert werden:
  • die nutzergruppe "users" soll im netzwerk über die netzwerkumgebung (windows xp & vista) sowohl auf "downloads" als auch "incoming" ohne einschränkung zugreifen können, also vollzugriff
  • die "ftp-users", welche ich gern ausschließlich für externe nutzer konzipiert hätte, soll nur auf "incoming" R/W-rechte haben, auf "downloads" aber nur R(ead only).

das problem für mich ist momentan, dass egal welchen nutzer ich anlege, dieser automatisch der gruppe "users" zugeordnet wird und damit der vollzugriff (und das lässt sich ja auch nicht ändern). ich kann dann nur zusätzlich die gruppe "ftp-users" zuordnen.

nun war mein ansatz, dem ordner "incoming" für beide nutzergruppen RW zuzuordnen und für den "downloads" nur "users" RW, aber "ftp-users" R.

da nun aber mein "ftp-nutzer" sowohl den "users" als auch den "ftp-users" zugeordnet wurde, schaffe ich es einfach nicht, den zugriff wie gewünscht einzustellen...

:confused: :confused: :confused:

bitte kann da mal jemand den knoten in meinem kopf lösen und mich wieder auf die richtige schiene setzen...!? :eek:

vielen dank euch schonmal vorab!
greetz,
der silk
 

a-jay

Benutzer
Mitglied seit
14. Nov 2007
Beiträge
571
Punkte für Reaktionen
0
Punkte
0
Einfach die Gruppe "Users" bei den Berechtigungen der Ordner entfernen und stattdessen eine eigene Gruppe (z. B. MyUsers) anlegen. Zu MyUsers nur die gewünschten Benutzer hinzufügen und in die Ordernberechtigung eintragen. (Sofern ich dein Problem richtig verstanden habe)
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Einen Vollzugriff im lokalen Netzwerk kann man am einfachsten mit dem Benutzer "guest" erreichen. Dafür ist der nämlich da. Der guest bekommt dann alle Rechte und kein Passwort, ein Zugriff z.B. über Windows funktioniert dann auch ohne Passworteingabe. Für einen Zugriff von aussen kann der guest nicht verwendet werden.

Trolli
 

Silksmooth

Benutzer
Mitglied seit
23. Sep 2008
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
vielen dank für die schnellen antworten!!

das mit dem "guest" ist ein guter hinweis, das werd ich mir merken! ich hatte das konto erstmal deaktiviert, da ich mir nicht sicher war, welche hintertürchen ich damit vielleicht offen halte...

inzwischen hab ich mir aber anders geholfen (a-jay hat mir da den richtigen denkanstoss gegeben):

ich habe einfach eine neue gruppe "internal-users" eingerichtet. diesen habe ich dann die lokalen benutzer zugeordnet und somit eine exakte trennung - genau, was ich erreichen wollte.
auf den verzeichnissen habe ich generell "users" entfernt und die rechte nur noch mit "ftp-users" und "internal-users" auf gruppen-ebene verteilt. so funktioniert das ganz prima!!

so hat nun z.b. der ordner "downloads" folgende rechte:
- "internal-users" RW
- "ftp-users" R

und der "incoming" ordner kann voll verwendet werden:
- "internal-users" RW
- "ftp-users" RW

so brauch ich bei neuen benutzerkonten nur noch die gruppe auswählen und die zugriffsrechte werden korrekt vergeben... dafür ist die benutzergruppe ja auch da! :)

also nochmals vielen dank für den tollen und schnellen support!

greetz,
der silk
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
@Silksmooth,

ich finde es toll, dass du das so schön ausgeknobelt hast. Vielleicht hast du ja noch ein wenig Zeit und kannst dein Zugriffsrechte-Beispiel, so anschaulich wie du es hier dargestellt hast, ins Wiki stellen. Es gibt viele, die verzweifeln an der Rechtevergabe und du scheinst ja nun den Bogen raus zu haben ;)

Ich würde mich freuen, wenn ich es bald im Wiki lesen könnte.

itari
 

bill_lee

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich bin neu hier und heftig am lesen. :)

Ich bin froh diesen Beitrag gefunden zu haben, denn ich habe ein Frage die in die gleich Richtung geht.

Ich habe meine DS107+ relativ neu und benutze sie momentan als Fileserver im LAN. Benutzer, Gruppen, Gemeinsame Ordner sind angelegt - alles bestens.

Heute wollte ich mal von extern einen Filestationzugriff über DynDNS einrichten. Also Account angelegt, Port am Router an DS weiterleiten usw. funktioniert alles. Ich habe Zugriff über Port 5000 bzw. Port 7000 (wenn man in die separate Anmeldung bei der Filestation aktiviert). Soweit, so gut.

Mein Problem ist nun folgendes:

Auch ich habe 2 Ordner :

Ordner 1
Ordner 2

Und 3 Gruppen
Externe_User (2 User)
Interne_User (5 User)
User (9 User), der admin ist in extern und intern enthalten

Die Gruppe Externe_User braucht Zugriff nur auf Ordner 2 (nur Read). Die Internen_User auf Ordner 1 und 2 (R/W). Mit den Berechtigungen hierfür hab ich auch erstmal kein Problem. Kann man ja alles prima konfigurieren.

Aber:
Ich möchte gern dass die Anzahl der Angriffsmöglichkeiten, sprich User mit gültigen Passwörtern, auf meine DS möglichst klein ist. Deswegen sollen nur die User der Gruppe Externe_User sich überhaupt aus dem Internet an der DS anmelden können. Die internen User sollen sich nur intern aus dem LAN anmelden können und keine Möglichkeit haben, sich mit ihrem LAN internen Usernamen/Passwort von extern anzumelden.

Kann die DS irgendwie unterscheiden, ob sich jemand von intern oder von extern anmeldet ? Im Moment kann sich jeder aus der Gruppe "Interne_User" mit seinem Passwort von überall aus dem Netz anmelden. Niemand der sich aus dem Internet anmeldet, soll Ordner 1 sehen.

Ich hoffe ich hab mich einigermassen verständlich ausgedrückt, für mich ist das alles neu. :eek:

gruss
bill_lee
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
So ungefähr habe ich dich verstanden. ;)

Die externen ftp-inet-Pakete, die zur DS kommen könnten vorher im Router, wenn dieser eine gut konfigurierbare Firewall hat, so gefiltert werden, dass anhand der IP-Adressen ausselektiert wird. Leider nicht per User-Name, weil der User-Name ja erst auf der FTP-Protokoll-Ebene 'verstanden' werden kann. Aber das macht der FTP eigentlich recht ordentlich, so dass erst mit einer gültigen Anmeldung überhaupt jemand was sehen kann. Nach erfolgreicher Anmeldung sieht der Benutzer normalerweise nur die Dinge, die durch Dateisystem-Rechte auch für ihn zugreifbar sind. Nun wird auf der Disk Station kein normaler FTP-Server verwendet, sondern der SmbFTPD, der ein paar Besonderheiten aufweise, weil er sich Einstellungen aus der Samba-Konfigurationsdatei holt.

Wenn du so fit bist, dass du per Telnet auf die DS kannst, eine wenig im Dateisystem herum navigieren kannst, dich mit dem vi traust Dateien zu ändern, dann lohnt sich ein Blick in dieses Manual, wo drin steht, wie man das konfiguriert, was du gerne haben möchtest.

itari
 

bill_lee

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
Vielen dank erstmal . . . :)

Ist das Scenario was du beschreibst nur für FTP Zugriff möglich ? Ich hab FTP nicht aktiviert. Zugriff aus dem Inet erfolgt bis jetzt nur über Port 5000 bzw. 7000 auf die Filestation der DS.

Gruss
bill_lee
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
ups da ist mir ein Satz flöten gegangen. Es sollte nach der ersten Zeile lauten:

Mit einem FTP-Client-Programm für den externen Zugriff wäre wahrscheinlich eine Lösung möglich, denn hier legitimieren sich die Benutzer nicht über die Anmeldemaske.

Sorry
itari
 

bill_lee

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
ups da ist mir ein Satz flöten gegangen. Es sollte nach der ersten Zeile lauten:

Mit einem FTP-Client-Programm für den externen Zugriff wäre wahrscheinlich eine Lösung möglich, denn hier legitimieren sich die Benutzer nicht über die Anmeldemaske.

Sorry
itari


hmm, hab ich noch nicht so ganz gerafft. ;)

Klar kann ich den Leuten sagen, sie sollen sich über einem FTP Client einloggen. Was aber kriegen die Leute zu sehen, wenn sie trotzdem versuchen sich mit nem Browser auf http://meinDS.dynsorg:7000 einzuloggen ? Kommen die in die Anmeldemaske ?
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Wenn du den Router nicht aufmachst, kommt keiner von draußen auf Port 7000 durch, also auch nicht auf die Anmeldemaske.

itari
 

bill_lee

Benutzer
Mitglied seit
11. Okt 2008
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
ok, danke. Ich geh' dann mal lesen . . . :)
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Man kann auch einfach für die Benutzung im lokalen Netzwerk den Gast-Benutzer verwenden. Dieser hat keine Berechtigung für den Zugriff über Internet.

Trolli
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat