Benutzerrechte vergeben

[thymallus]

Synology NAS RS409+ & DS209+II mit Diskmanager 2.2

Beipsiel:

\\SynologyNAS\versteckteFreigabe


Ordner Benutzer Berechtigungen

verstecketeFreigabe
Domänenadmins Vollzugriff
Domänenbenutzer lesen
Unterordner1
Domänenadmins Vollzugriff
Benutzer1 Vollzugriff
alle anderen kein Zugriff
Unterordner2
Domänenadmins Vollzugriff
Benutzer2 Vollzugriff
alle anderen kein Zugriff
Unterordner3
Domänenadmins Vollzugriff
Benutzer1 Vollzugriff
Benutzer2 Vollzugriff
alle anderen kein Zugriff

Ist-Zustand:

Das NAS ist ins Active Directory integriert und es werden nur Domändengruppen bzw. Domänenbenutzer gebraucht.

Der Zugriff erfolgt nur über Windows Freigabe.

Die versteckte Freigabe wird per Script mit einem Laufwerksbuchstaben versehen und bei der Anmeldung verknüpft.
Alle, die das Laufwerk angebunden bekommen, sollen alle Unterordner sehen können.
Wichtig ist aber, dass sie auch keine neuen Ordner erstellen und die vorhandenen Ordern nicht löschen dürfen.
Beides ist im Moment der Fall.

Die Unterordner sind mit den Berechtigungen so erstellt, das nur die Gruppe(User) darauf Zugriff haben, die auch gewünscht sind.
Allen anderen wird der Zugriff verweigert.

Problem:

Direkt unter der Freigabe (Root) können die Benutzer Ordner erstellen und was noch schlimmer ist, vorhandene Ordner können sie auch löschen, obwohl Sie keinen Lesezugriff haben.

Wenn man auf dem NAS in der Managementconsole unter Berechtigungen\Gemeinsame Ordner auf den erstellten Freigabenamen klickt und unter Privilegeinstellung z.b. den Domänenbenutzern nur "lesen" Berechtigung gibt, dann können die Domänenbenutzer zwar die Ordner sehen, haben aber keine Schreibberechtigungen mehr. Auch dann nicht, wenn man im Unterordner Vollzugriff (lesen, schreiben, ausführen) bewilligt.
Andersrum, wenn man den Domänenbenutzern "lesen\schreiben" Berechtigungen gibt, dann haben die Benutzer "Vollzugriff". Soll heißen, sie können unterhalb der Freigabe Ordner erstellen und auch ALLE Ordner löschen, was sehr fatal ist
"lesen NEIN, löschen JA"

Fazit: Wie kann man die Berechtigungen entsprechend vergeben, sodass direkt unter der Freigabe keiner schreiben kann, aber alle die vorher erstellten Ordner lesen können. Und es darf auch kein vorhandener Ordner gelöscht werden dürfen
Zugriff auf die Unterordner sollen dann über die einzelnen Berechtigungen (nur lesen oder lesen/schreiben) für den jeweiligen Unterordner erfolgen?

Danke und Gruß
Thomas

 

[thymallus]

hier noch mal eine anderes Beispiel zur Verdeutlichung:

Ich habe eine Freigabe folgenden Berechtigungen vergeben:
Domänen-Admins: lesen/schreiben
Domänen-Benutzer: lesen/schreiben
Domänen-Services: lesen/schreiben

In der FileStation habe ich einen Unterordner erstellt mit folgenden Berechtigungen:
Besitzer: lesen; schreiben, ausführen
Benutzergruppe: lesen; schreiben, ausführen
Sonstige: nichts

Ist-Zustand:
Der User kann auf die "User" Ablage zugreifen und schreiben und auf die "Admin" Ablage kann er nicht zugreifen (Zugriff verweigert). Dies ist auch so OK.

!!!Aber er kann den Admin Ordner löschen. Und das ist ein großes Problem!!!

Wenn ich aber in der oben genannten Freigabe "nur lesen" Berechtigungen vergebe, dann kann er auch in dem Unterordner "User" nicht schreiben, obwohl er dort die Berechtigungen hätte.

Kann man die Einstellungen per Putty ändern? Wenn ja, gibt es eine Anleitung?

Bitte um Hilfe

Danke
Thomas

 

[Trolli]

Das wirst Du wohl nicht so einfach gelöst bekommen. Wenn ein Benutzer im übergeordneten Ordner Schreibrechte hat, kann er dort automatisch auch Ordner löschen.

Vielleicht könntest Du den Admin-Ordner per Symlink und nicht über einen Mount verknüpfen. Dann könnte der User höchstens den Link löschen. Wahrscheinlich kann dann aber die File Station nicht mehr ordentlich mit dieser Verknüpfung umgehen...

 

[jahlives]

Das wirst Du wohl nicht so einfach gelöst bekommen. Wenn ein Benutzer im übergeordneten Ordner Schreibrechte hat, kann er dort automatisch auch Ordner löschen.

Mit dem Sticky-Bit müsste sich dies ja eigentlich verhindern lassen, oder? Dann können Verzeichnisse nur noch vom Eigentümer gelöscht werden

 

[thymallus]

Hi Trolli,

danke für die Antwort.

Ein Link ist nicht möglich. Wir haben verschienden User, die das NAS als Laufwerk angebunden bekommen. Alle dürfen das root Verzeichniss sehen, aber nur ausgewählte User dürfen auf Ihre Ordner zugreifen. (Wird mit Domänengruppen geregelt.

Die Frage ist halt, wenn man in der Freigabe den domänen-benutzern "nur lesen" Berechtigung gibt, kann man mit einen Trick (über Putty) den Unterordnern dann schreibberechtigung geben?

Im Moment geht das leider nicht.

Gruß
Thomas

 

[thymallus]

@ jahlives,

vielen Dank für den Tipp,

werde mich mal schlau machen, was das genau ist und wie man den Sticky-Bit einrichten kann . Oder kennst du eine gute Anleitung?

Gruß
Thomas

 

[jahlives]

Das Sticky-Bit ist ein erweitertes Unix-Dateirecht. Auf Verzeichnisse angewandt führt es dazu, dass nur noch der Eigentümer einer Datei diese löschen kann

 

[itari]

Es gibt auch die extended File-Attribute in ext2, welche von der DS unterstützt werden. Muss man meist per Kommandozeile verwalten. Schau mal die Option i

http://linux.die.net/man/1/chattr

Itari

 

[thymallus]

@ jahlives,
vielen Dank. Sieht gut aus. Jetzt muss ich mal testen, wenn man Daten rüberschiebt (unter Windows mit Copy & Paste) und wer dann was darf. Auch interessant ist es zu wissen, wie die Sicherung mit Robocopy damit klar kommt

Werde ich testen und berichten

@ itari,

danke, werde ich mir auch mal anschauen

Gruß
Thomas

 

[thymallus]

@ jahlives,

Hi, habe es mal getestet. habe da aber noch ein Problem. Wenn ich die Freigabe mit "chmod 1770 Unterodnername" neu mit Rechten vergebe, dann können zwar die User lesen und schreiben. Löschen kann aber nur der Besitzer und nicht eine Gruppe bzw der Domänen-admin

Wie kann man es denn einstellen, das User einer Gruppe diese berechtigungen bekommnen?

Bsp. Struktur: testbalgae ist der Freigabename. Darunter die entsprechenden Unterrdner

testablage
- Admin (lesen, schreiben, ausführen und löschen) für Domänen-admis, sonst darf keiner Zugriff haben
- User (lesen, schreiben ausführen auch löschen) für User und Admins
- Allgemein (lesen schreiben ausführen für alle incl löschen

testablage: chmod 1770

 

[thymallus]

@ jahlives,

Hi,
habe es nun getestet:

"chmod 1775 Freigabe" nur auf die Freigabe gesetzt. Die Unterordner müssen vorher Unter der Freigabe vorhanden sein und der Zugriff wird über die Benutzergruppe geregelt. Dirket unter der freigabe darf keiner schreiben und löschen. Innerhalb der berechtigten ordner kann er Ordnder erstellen. Dokumente bearbeiten und auch alles wieder löschen.

Danke

Habe aber noch eine Frage.

Wenn man den Stick-Bit wieder entfernen möchte, welchen Befehl muss man eingeben? nur "chmod 775 Freigabe" geht nicht

Gruß
Thomas

 

[jahlives]

Ein

chmod 0755 /path/to/folder

geht ned um das Bit zu entfernen? Sollte eigentlich so gehen...

 

[thymallus]

chmod 0755 /path/to/folder geht leider nicht.

 

[thymallus]

es geht mit

chmod 1777 Freigabename.

weis zwar nicht, ob dies der richtige Weg ist, aber es genügt mir im Moment.

danke an alle

Thomas

 

[jahlives]

Komisch, aber bei mir geht das ohne Probleme

webserver> cd /tmp
webserver> mkdir test
webserver> chmod 1755 test
webserver> ls -al test
total 0
[B]drwxr-xr-t 2 root root   40 May 19 20:34 .[/B]
drwxrwxrwt 9 root root 1060 May 19 20:34 ..
webserver> chmod 0755 test
webserver> ls -al test
total 0
[B]drwxr-xr-x 2 root root   40 May 19 20:34 .[/B]
drwxrwxrwt 9 root root 1060 May 19 20:34 ..

 

[thymallus]

@ jahlives,

danke für den Code.

Ist schon komisch. Diese Einstellungen habe ich auch. Aus dem"t" wird wieder ein "x". Aber in der Funktion ändert sich nichts. Der user kann beim setzten von chmod 0775 test immer noch nicht die Ordner löschen oder anlegen. Obwohl er in der Domänengruppe zugehört.

Nur wenn mann "sonsige" auch schreibberechtigungen gibt, dann funktioniert es.

kann aber auch sein, das ich das noch nicht richtig verstanden habe. Bin ziemlich neu in sachen Linux.

Gruß
Thomas

 

[jahlives]

Nur wenn mann "sonsige" auch schreibberechtigungen gibt, dann funktioniert es.

Dann passt etwas mit der Gruppe nicht resp erkennt die DS den User nicht als Mitglied der Gruppe und wendet damit die Rechte für OTHERS an (in einem Fall nur Lesen/Ausführen)

 

[HubaHuba]

Verzeichnis mit Berechtigungen vor dem Umbenennen/Löschen schützen

Ich habe eine DS110j mit EXT4 und DSM 3.1. Ich möchte gerne ein Verzeichnis für welches Benutzerberechtigungen eingerichtet sind mit einem Lösch- bzw. Umbenennungsschutz ausstatten. Bislang dürfen die Benutzer, die Schreib- und Leseberechtigung haben auch das Verzeichnis selber löschen. Damit kommt dann auch die Berechtigungsstruktur abhanden. Lässt sich so ein Lösch- bzw. Umbenennungsschutz irgendwie konfigurieren?
Ich habe gesehen, dass der Linux Befehl chattr wohl gewisse Möglichkeiten bietet, aber dieser Befehl ist auf meinem System aus irgendwelchen Gründen nicht verfügbar.

 

[itari]

@HubaHuba,

wie greifen denn die User auf die Verzeichnisse zu? Via SMB/CIFS oder NFS oder AFP oder FTP oder WebDAV ... ???

Vielleicht kannst auch etwas darüber sagen, um welche Verzeichnisebene es sich handelt ... sind es die Home-Verzeichnisse der User und darünter liegende Ordner oder wie muss man sich das jetzt vorstellen. Es ist insofern wichtig, weil die Zugriffsberechtigungen ja nicht nur auf der Linux-Ebene, sondern auch auf der Ebene der jeweiligen Server (Samba) eine Rolle spielen

Itari

 

[HubaHuba]

Hallo Itari,

ich habe das Problem im Augenblick folgendermaßen gelöst:
1) Einen "neuen gemeinsamen Ordner" über das "Bedienfeld" in "DiskStation" erstellt und dabei die "Liste für Windows Zugangskontrolle" aktiviert (dafür ist EXT4 erforderlich)
2) Eine Benutzergruppe für jedes Unterverzeichnis erstellt
3) Über die "Privilegieneinstellungen" des "Freigegebenen Ordners" folgende Einstellungen vorgenommen:
Lokale Benutzer:
- admin: "Lesen/Schreiben"
- guest: "Kein Zugriff"
- alle anderen: Kein Kästchen aktiviert
Lokale Gruppen:
- administrators: "Lesen/Schreiben"
- alle Gruppen aus 2): "Lesen/Schreiben"
- users: Kein Kästchen aktiviert
4) Laufwerk im XP Klienten gemappt mit "net use ..." (als admin)
5) Über "Eigenschaften - Sicherheit" des "gemeinsamen Ordners" folgende Einstellung vorgenommen:
Für "Diesen Ordner, Unterordner und Dateien" alles "Verweigern" bis auf
- Vollzugriff
- Ordner durchsuchen / Datei ausführen
- Ordner auflisten / Daten lesen
Für "Diesen Ordner, Unterordner und Dateien" folgende Punkte "Zulassen"
- Ordner durchsuchen / Datei ausführen
- Ordner auflisten / Daten lesen
6) Die Unterverzeichnisse angelegt
7) Über "Synology File Station 3" die folgenden Einstellungen für jedes Unterverzeichnis vorgenommen:
Besitzer "admin"
- Lesen
- Schreiben
- Ausführen
Gruppe aus Punkt 2)
- Lesen
- Schreiben
- Ausführen
Sonstige
- Lesen
- Ausführen
Durch dieses Konstrukt habe folgendes erreicht:
- Benutzer sind nicht in der Lage die Unterverzeichnisse umzubenennen/zu löschen auf die sie Schreib- oder Leseberechtigung haben
- Benutzer, die der entsprechenden Benutzergruppe (siehe 2) angehören, können in diesem Verzeichnis Lesen/Schreiben
- Benutzer, die nicht der entsprechenden Benutzergruppe angehören, können in diesem Verzeichnis Lesen

Mich würde dein fachmännischer Rat zu diesem Konstrukt interessieren und weist du ob es irgendwo ein Handbuch gibt, in dem die Administration der Zugriffberechtigungen beschrieben sind, also das Zusammenspiel von
- Benutzer und Benutzergruppen über das "Bedienfeld" in "DiskStation"
- Vergabe von Berechtigungen mit der "File Station 3"
- Einstellungen über die Windows ACL