Berechtigungen auf Verzeichnisse

[Django]

Hallo und frohe Weihnachten allen,

ich habe über die Feiertage mich wieder mit dem NAS (Synology 211+).
Ich stosse aber immer wieder auf das selbe Problem, für das ich einfach keine Lösung finde.
Um dies darzustellen muss ich etwas ausholen.
Ich habe 3 User auf dem NAS angelegt, nennen wir sie 1,2 und 3.
Auf dem NAS gibt es im Root-Verzeichnis neben den Standardverzeichnissen public, web, video etc nun auch die gemeinsamen Ordner der User, wobei immer nur ein Ordner einem User zugänglich gemacht werden soll.
User 1 -> Ordner A
User 2 -> Ordner B
User 3 -> Ordner C

In den Privilegieneinstellungen der Ordner habe ich die jeweiligen User mit Vollberechtigung zugeordnet.

Nun mein Problem:
Meldet sich User 3 am Mediaplayer am NAS an sieht er nicht nur Ordner C, sonden rauch die anderen. Das wäre noch nicht so schlimm. Er kann ohne Probleme auch in die anderen Ordner wechseln, ob wohl für ihn keine Berechtigungen dafür hinterlegt sind!!!

Verstecke ich über das NAS die Ordner A und B kann User 3 diese zwar nicht mehr sehen, aber User 1 und 2 kommen dadurch auch nicht mehr an ihre Ordner ran.

Ich habe vorsichtshalber sogar schon für jeden User eine eigene Gruppe angelegt und den Gruppen ebenfalls die entsprechenden Berechtigungen erteilt, was jedoch mein Problem nicht lösen konnte. Alle User sind gezwungener Maßen in der Gruppe "users" (das kann ich ja leider nicht deaktivieren), aber der Gruppe "users" wurde nicht eine einzige Berechtigung auf eines der genannten Verzeichnisse gegeben.

Ich denke nicht das es ein Problem das Mediaplayers ist. Habe einen brand neuen Mediaplayer eingerichtet der sich einzig und alleine NUR mit User 3 anmeldet, aber leider wie oben beschrieben auf ALLES zugreifen kann.

Ich wäre Euch sehr dankbar wenn ihr mich durch eine Lösung lotsen könntet.
Ich hoffe ich konnte das Problem halbwegs verständlich darstellen, ansonsten gebe ich Euch bei Bedarf gerne weitere Infos.

 

[Stabmaster]

Wenn es nur um den Benutzerspezifischen Ordner geht und nichts mit dem MediaPlayer zu tun hat, gibt es das sogenannte Home-Verzeichnis für die Benutzer. Hier hat jeder im Standard nur die Berechtigung auf seinen eigenen Ordner zuzugreifen. Die Ordner der anderen Benutzer können nicht gesehen werden. Dies ist nur für den admin/root möglich.

Zu finden unter Systemsteuerung -> Benutzer -> Button "Benutzer-Home"

Es sind keine extra komplizierten Privilegieneinstellungen nötig ...

 

[Django]

Hallo Stabmaster,

danke für die Info. Ich habe nun wie von Dir beschrieben den Benutzer-Home-Dienst aktiviert. Deiser war tatsächlich nicht aktiv. Allerdings frage ich mich nun wo die Auswirkungen sind? Für die angelegten User wurden durch die Aktivierung des Dienstes keine neuen User-Home-Verzeichnisse angelegt. Ober habe ich jetzt die Möglichkeit ein bestimmtes Verzeichnis einem User als Home-Verzeichnis zuzuordnen?
Das System reagiert leider immer noch wie anfangs beschrieben.
Hilf mir bitte bezüglich des Home-Verzeichnisses noch mal weiter.

 

[Stabmaster]

Mit der Aktivierung des Home-Verzeichnisses werden eigentlich zwei neue Verzeichnisse angelegt.
Einmal der Ordner "home" und "homes". In "homes" befinden sich alle Benutzerordner, die aber nur der Admin im Zugriff hat. Jeder Benutzer besitzt EIN home-Verzeichnis. Dieses kann auch nicht manuell festgelegt werden.
Im Ordner "home" wird immer das Verzeichnis des angemeldeten Benutzers gemountet/bereitgestellt.

Sobald du dich nun über die SMB-Freigabe oder über die Weboberfläche mit einem abweichenden Benutzer anmeldest, solltest du deine neuen Ordner sehen.

 

[Django]

Ah! Man sollte öfter mal aktualisieren.
Ok, verstanden. Nun gibt es im root ein Verzeichnis "homes" in dem sich die User als weitere Verzeichnis-Namen angelegt haben.
Ich werde für User 3 gleich mal alle Dateien da reinschieben und muss dann den Mediaplayer noch bearbeiten.
Dennoch 2 Fragen:
1. Durch diese Aktion ist weiterhin im root ein leeres Verzeichnis "home" entstanden. Wozu dient das?
2. War mein Fehler denn nun das ich die User-Verzeichnisse unter "Gemeinsame Ordner" angelegt habe? Gerade weil ich dort doch wunderbar Zugriffsberechtigungen einstellen kann dachte ich damit die richtige Lösung zu haben. Dann greifen diese Berechtigungen bei "Gemeinsamen Ordnern" im Grunde genommen ja gar nicht.
3. Daher sehe ich schon ein weiteres Problem auf mich zu kommen: Was wenn zwar jeder User seine eigenen Home-Verzeichnis hat, aber 2 User nun auf das gleich Home-Verzeichnis zugreifen sollen. Bei "Gemeinsamen Ordnern habe ich ja das beschriebene Problem. das ich einzelne User nicht ausgrenzen kann.

 

[Stabmaster]

1. Das Home-Verzeichnis ist wie oben beschrieben das Verzeichnis, was der angemeldete Benutzer sieht. Den homes-Ordner bekommt der normale Benutzer nicht zu Gesicht. Er hat keine Ahnung von der Existenz der anderen Benutzerverzeichnisse. Theoretisch verweist das "home"-Verzeichnis direkt auf "homes-><Benutzer>".
Hoffe das war etwas verständlicher als gerade ;-)

2. Gemeinsame Ordner ist wie der Name schon sagt, ein Verzeichnis zur Benutzung von mehreren Benutzern, die du nach Privilegieneinstellung definieren kannst. Wünscht du aber, dass jeder Benutzer sein eigenes Verzeichnis erhält, ist die Nutzung der Home-Verzeichnisse der richtige Weg. Du hast weniger Administrationsaufwand und muss dich um nichts kümmern. Der Benutzer kann dort löschen, hinzufügen etc ... wenn du magst, kannst du auch noch Speicherbegrenzungen (Quotas) einrichten, damit dir niemand dein NAS sprengt ... (oder war das für Gemeinsame Ordner?! bin mir grad nicht 100%ig sicher)

3. Das dürfte m.W. nicht funktionieren, da jeder Benutzer nur Zugriff auf seinen Ordner hat. Mit den Gemeinsamen Ordnern solltest du dies aber gut einstellen können. Ich habe dies bei mir auch gelöst, man sieht zwar die Verzeichnisse, aber die Benutzer können nicht darauf zugreifen, was ich jetzt nicht gerade schlimm finde. Wie heißt es so schön, nur gucken, nicht anfassen

 

[bohne]

1. Durch diese Aktion ist weiterhin im root ein leeres Verzeichnis "home" entstanden. Wozu dient das?

Jeder User auch der admin hat einen Ordner home bekommen und genau den siehst Du jetzt.

2. War mein Fehler denn nun das ich die User-Verzeichnisse unter "Gemeinsame Ordner" angelegt habe? Gerade weil ich dort doch wunderbar Zugriffsberechtigungen einstellen kann dachte ich damit die richtige Lösung zu haben. Dann greifen diese Berechtigungen bei "Gemeinsamen Ordnern" im Grunde genommen ja gar nicht.

Doch sie greifen sehr wohl. Das Problem ist nur das jeder User auch der Gruppe "users" angehört, dies kann auch nicht geändert werden. Nimmst Du jetzt der Gruppe "users" die Lese-/Schreibrechte für die drei von Dir manuell angelegten Ordner und erteilst nur dem admin und dem jeweiligen User die Lese-/Schreibrechte, hast Du das gleiche Ergebnis.
Ich empfehle Dir aber die Verwendung der "home" Ordner (z.B lässt sich der FTP-Zugriff später einfacher konfigurieren).

3. Daher sehe ich schon ein weiteres Problem auf mich zu kommen: Was wenn zwar jeder User seine eigenen Home-Verzeichnis hat, aber 2 User nun auf das gleich Home-Verzeichnis zugreifen

Da gebe es die Möglichkeit von mount-bind (siehe Wiki).

 

[bohne]

@Stabmaster

wenn du magst, kannst du auch noch Speicherbegrenzungen (Quotas) einrichten, damit dir niemand dein NAS sprengt ... (oder war das für Gemeinsame Ordner?! bin mir grad nicht 100%ig sicher)

Quotas können nur für Benutzer erstellt werden, nicht für gemeinsame Ordner.

 

[Django]

Der Knoten ist fast geplatzt!

Aktueller Status:
Ich habe auf den neuen Mediaplayer die alte Verknüpfung für User 3 gelöscht (seine Zugangsdaten zum NAS). Nach dem ich das NAS erneut anwählte habe ich die Zugangsdaten von User 3 erneut eingegeben. Wie ihr bereits geschildert habt bekommt er nun in seinem Verzeichnis "home" SEINE Dateien. Klasse soweit.
Und trotzdem komme ich aus dem Stutzen nicht raus. User 3 bekommt bei Anwahl des Netzwerkes weiterhin die anderen Verzeichnisse aufgelistet. Versucht User 3 nun in das Verzeichnis "gemeinsame Ordner"-Verzeichnis von User 2 zu gelangen, wird nach dem Kennwort gefragt.... TOP! Versucht User 3 in das Verzeichnis "gemeinsame Ordner"-Verzeichnis von User 1 zu gelangen, kommt er ohne weiteres rein :-(
Das mit diesen gemeinsamen Verzeichnissen ist mir immer noch ein Rätsel.

 

[Stabmaster]

@Stabmaster
Quotas können nur für Benutzer erstellt werden, nicht für gemeinsame Ordner.

Vielen Dank, lag ich also doch nicht ganz daneben. ;-)
Nach deinem vorherigen Post, hast du mich auch wieder an mount-bind erinnert.

 

[bohne]

@Django
Versuche folgendes.
Rechte für Gemeinsamen Ordner User 1:
admin und User 1 Lese-/Schreibrechte
User 2 und User 3 kein Zugriff
Gruppenrechte der Gruppe users alle haken entfernen.

Und das ganze führst Du natürlich für jeden der anderen Ordner in abgewandelter Ausführung durch.

 

[Stabmaster]

User 3 bekommt bei Anwahl des Netzwerkes weiterhin die anderen Verzeichnisse aufgelistet. Versucht User 3 nun in das Verzeichnis "gemeinsame Ordner"-Verzeichnis von User 2 zu gelangen, wird nach dem Kennwort gefragt.... TOP! Versucht User 3 in das Verzeichnis "gemeinsame Ordner"-Verzeichnis von User 1 zu gelangen, kommt er ohne weiteres rein :-(
Das mit diesen gemeinsamen Verzeichnissen ist mir immer noch ein Rätsel.

Klingt danach, als wenn du für User3 extra/falsche Berechtigungen auf dem g. Ordner von User1 gesetzt hast. Gleich diese mit den Berechtigungen für g. Ordner 2 ab, dann sollte auch dieser wie gewünscht arbeiten.

Edit: zu langsam -> bohne war schneller ... ;-)

 

[Django]

Hi,

genau so hatte ich es ja. Exakt so wie Du es gerade beschrieben hast. Die User gehören zwar alle der Gruppe "users" an, diese Gruppe hat aber NULL Berechtigungen.
Und die Steuerung über die Berechtigungsvergabe bei den "Gemeinsamen Ordnern" hatte ich ebenfalls genau so vergeben.
Und dennoch habe ich das Problem das die User nicht in die für sie so freigegebenen "Gemeinsamen Ordner" reinkommen. Genau das verstehe ich nicht.

 

[bohne]

Du darfst bei der Gruppe users nicht den Haken setzten bei "kein Zugriff". alle Haken müssen draussen sein.
Die Privilegienvergabe hat folgende Hierachie:
Na>RW>RO

 

[Django]

Für die Gruppe "users" habe ich weit und breit keinen einzigen Haken drin, nicht mal in der Spalte "Kein Zugriff".
An liebsten wäre es mir noch ich könnte die User aus der Gruppe "users" rausschmeissen. Aber weil es anscheinend eine System default group ist geht es nicht.
Wobei ich dann aber wieder bei meiner Ausgangsfrage bin: Warum können die User auf die anderen "Gemeinsamen Ordner" zugreifen obwohl sie keine Berechtigung darauf erhalten haben?

Ich werde jetzt mal alle Daten von den "Gemeinsamen Ordern" in die jeweiligen Home-Verzeichnisse verschieben. Mal sehen wie weit ich damit komme.

 

[Django]

So.... ich versuche gerade an meinem Rechner das gesamte Verzeichnis HOMES zu mappen (Mit Admin-Zugangsadaten des NAS). Funktioniert leider nicht.
Ordner: \\meinNAS\HOMES
Login als NAS-Admin mit dessen Kennwort.
Geht das nicht?

 

[bohne]

Vorneweg, was ist mit den Rechten der einzelnen Ordner geworden, funktioniert das? Dein Feedback kann evtl. weiteren Usern helfen!

Anmelden mußt Du dich als Benutzer "root" mit dem Passwort des admin.

 

[Django]

mhmmm
Nach der Auflösung der "Gemeinsamen Ordner" und der Verteilung der Daten in die entsprechenden HOME-Verzeichnisse der User werden die Probleme nun noch größer.
Am PC ist es mir nun gelungen das komplette HOMES-Verzeichnis zu mappen. Er wollte nicht \\meinNAS\HOMES sondern \\NAS-IP-Adresse\HOMES.
Warum die Namensauflösung nicht geht weiß ich nicht.

Nun wollte ich testweise nur eines der User-Verzeichnisse als eigenes Laufwerk mappen.
\\meinNAS\HOMES\User1 als auch \\meinNAS\HOMES\user1 funktionieren nicht!
Gibt es also etwas bezüglich des Mappings eines der HOME-Verzeichnise zu beachten?

Schlimmer noch, mein Notebook, welches dringend auf das Verzeichnis des Users 1 zugreifen muss, findet in der Netzwerkumgebung das NAS nicht mehr, was vorher einwandfrei ging. Wenn ich das nicht hinkriege bekomme ich Ärger mit meiner Frau ;-)

Hat jemand eine Idee?

 

[bohne]

Sorry aber da habe ich Dich wohl falsch verstanden.
Wenn Du das home-Verzeichnis von User1 mappen willst, dann mußt Du das natürlich auch mit dem Benutzername und Kennwort des Users 1 machen.

Wenn ich das nicht hinkriege bekomme ich Ärger mit meiner Frau ;-)

Na dann lass uns das mal vermeiden!

Nur leider sind meine Windows Kenntnisse seit geraumer Zeit eingerostet. Ich versuche es trotzdem einmal.

Wenn Du auf "Netzlaufwerk verbinden" gehst und den Pfad eingibst, funktioniert es dann?

 

[Django]

Geschafft, wenn es auch nicht so in der Art läuft wie ich es gerne hätte, denn die Steuerung über gemeinsame Ordner, wo ich dann berechtige wer auf was zugreifen darf, funktionierte bei mir nicht in dieser Form (siehe erstes Posting).


Ok, was habe ich gemacht?
1. Wie ihr es mir angeraten habt, Benutzer-Home-Dienst aktiviert.

2. Die Daten aus den bisherigen "Gemeinsame Ordner" Verzeichnissen in die jeweiligen HOME-Verzeichnisse verschoben.

3. Die Mappings der jeweiligen HOME-Verzeichnisse auf PC uns Notebook gestaltete sich schwierig, weil:
Wenn ich beim Erstellen des Mappings über die Netzwerkumgebung auf das NAS zugreife und von dort auf das Verzeichnis HOMES gehen möchte
um ein spezielles Userverzeichnis fürs Mapping anzugeben... läßt er mich nur darauf zugreifen wenn ich den NAS-Admin und sein Kennwort eingeben!
Erst dann komme ich ins HOMES-Verzeichnis um den gewünschten Pfad anzugeben. Sehr blöd. Auch ein Mapping mit kompletter Angabe des Pfades
und den Logindaten des Users funktionierte nicht!

4. Beim Mediaplayer war es noch etwas trickreicher. 3 der User-Verzeichnisse wollte ich dort als Verknüpfung hinterlegen.
a) über Netzwerk NAS angesteuert
b) nicht HOMES, sondern HOME ausgewählt.
c) Zugangsdaten für User 1 mit Kennwort eingegeben.
d) damit ich nun eine weiteres HOME-Verzeichnis zu packen bekam musste ich den Mediapplayer ausschalten damit er sein aktulles Lgin "vergißt"
(war ja als Shortcut bereits gespeichert und konnte nicht verloren gehen)
e) für die Verknüfungen aller weiterer HOMES\USER-Verzeichnisse Wiederholung der Schritte a) bis c)



So wies es scheint funktioniert es momentan wie gewünscht. Ich finde es allerdings etwas nervig weil ich hier jetzt immer die Hürde HOMES (auf welches nur der Admin zugreifen darf) im Hinterkopf behalten muss. Die Lösung über gemeinsame Verzeichnisse, wo ich an Hand von Privilegieneinstellungne einzelnen Usern Zugriffe ermöglichen kann finde ich DEFINTIV wesentlich besser... sie funktioniert nur leider nicht. Oder aber ich habe die Funktion der "Öffentlichen Ordner noch nicht richtig durchschaut. Ich gebe das Thema daher noch nicht ganz auf.
Mir schwebt einfach nur das ich diverse Ordner auf dem NAS habe und durch eine simple Berechtigungsvergabe (eben wie in den Privilegieneinstellungen) den Zugriff ermögliche. Mache ich ein Mapping mit dem Usernamen, soll er mit genau die Verzeichnisse anzeigen, für die ich ihn freigeben habe.