Berechtigungsproblem (chown funktioniert nicht)

[macro81]

Hallo miteinander

Unsere DS209 hat jetzt ein halbes Jahr ihren Dienst ohne Probleme verichtet: die shares waren mit unterschiedlichen Rechten angelegt und mehrere Rechner haben darauf zugegriffen.
Seit die DSM 3 darauf läuft habe ich aber Probleme mit beschränkenden Zugriffen.

Ich weis einigermaßen über Samba bescheit, sprich dass normalerweise der Benutzer auf SMB und dem Windows-Client vorhanden sein muss. Ich hatte es aber so eingerichtet dass sich die Rechner mit speziellen Benutzer und Kennwort anmelden.

Es gibt zwei Ordner auf unserem NAS die essentiell sind "privat" und "projekte" und genau diese zwei machen mir große Probleme. Deswegen hatte ich gestern ein Backup angelegt, die DSM komplett zurückgesetzt, das Volume formatiert (jetzt ext4) und danach das Backup wieder eingespielt.
Soweit so gut.

Danach habe ich eine Gruppe "ibs" angelegt, welche auf diese Ordner lese/schreibzugriff bekommt und zusätzlich noch einen Benutzer der dieser Gruppe angehört. Dabei ist mir schon das erste Problem aufgefallen: Die Vorschau der Privilegieneinstellung des Benutzers zeigt mir für diese Ordner NA an. Eigentlich müsste er hier das Recht RW der Gruppe erben.
Also habe ich explizit dem Benutzer das Recht zugewiesen.
Zum Schluss versuchte ich das Laufwerk mit expliziten Benutzerangaben zu mappen (Anmeldung mit anderem Benutzer) aber es kommt nur immer wieder die Passwortaufforderung.

Zum Test habe ich einen neuen Ordner "foto" angelegt dem ich wiederum diese Gruppe zugewiesen habe und siehe da, hier wird in der Vorschau für den Benutzer auch RW angezeit.
Deshalb habe ich mich mittels SSH auf den Terminal verbunden

Marvin> ls -l
drwxr-xr-x    3 admin    users         4096 Jan  7 23:38 @database
d------rwx    2 root     root          4096 Jan  8 01:28 @eaDir
drwxrwxrwx    2 root     root          4096 Jan  8 10:44 @tmp
-rw-------    1 root     root          6144 Jan  8 11:23 aquota.group
-rw-------    1 root     root          7168 Jan  8 11:23 aquota.user
drwxrwxrwx    2 root     root          4096 Jan  8 11:23 foto
drwxrwxrwx    2 root     root          4096 Jan  8 11:05 musik
drwxrwxrwx   13 admin    users         4096 Dec 26 16:53 privat
drwxrwxrwx   12 admin    users         4096 Dec 26 16:53 projekte
Marvin>

Es scheint dass er beim import immer noch die alten Systemrechte übernommen hat.
Also wollte ich den Benutzer und die Gruppe im Terminal mittels chown -R root:root /volume1/privat/ manuell anpassen aber hier bekomme ich immer Operation not permittet

Was kann ich hier tun? Es ist wirklich dringend, da diese Ordner für die Arbeit benötigt werden.

Danke
Marc

 

[macro81]

Jetzt funktioniert es *hurray*

Für chown musste ich mich als "root" anstelle von "admin" anmelden.

Und dann war da ein elemtaler Fehler: ich hatte die Gruppenberechtigung für "users" auf "kein Zugriff" gestellt und "ibs" als "lesen und schreiben". Ich bin davon ausgegangen dass ibs users überschreibt aber dem ist wohl nicht so.

 

[itari]

Dir ist aber schon klar, dass im DSM auch die Rechte aus Samba (/usr/syno/etc/smb.conf) eine Rolle spielen?

Itari

 

[macro81]

Genau deswegen bin ich auf die Lösung gekommen. Dort habe ich den Unterscheid mit den Gruppenberechtigungen festgestellt.

Wahrscheinlich war das "chown" gar nicht nötig, aber jetzt ist es immerhin konsistent.

 

[jahlives]

Und dann war da ein elemtaler Fehler: ich hatte die Gruppenberechtigung für "users" auf "kein Zugriff" gestellt und "ibs" als "lesen und schreiben". Ich bin davon ausgegangen dass ibs users überschreibt aber dem ist wohl nicht so.

Das Problem ist, dass in users auch jeder drin ist, der in ibs auch drin ist. Wenn du dann also users keinen Zugriff gibst, dürfte auch ibs keinen Zugriff haben. Afaik sind die Berechtigungen auf der DS in folgender Reihenfolge: N/A->R/W->R/O
Wenn du also für users den Zugriff verbietest, dann ist dieses Verbot höherwertig als das Lese/Schreibrecht für ibs.
Sobald du auf der DS mit Gruppenrechten arbeiten willst, darfst du der Gruppe users keinerlei Rechte zuweisen. Sonst spielt dir die Default Gruppe users und ihre Rechte immer in dein Berechtigungskonzept rein.

Zusätzlich den Part von itari ned vergessen: Auf einem System gibt es immer zwei unterschiedliche Berechtigungen. Einmal die Rechte der Applikation (bei der DS die Rechte im DSM) und dann aber noch die Rechte im Filesystem. Beide können einen Zugriff unterbinden.
Wenn du z.B. im DSM userA das Recht gibst eine Freigabe zu lesen, dann heisst dies noch lange nicht dass der Zugriff auch klappt. Wenn nähmlich der Ordner der Freigabe im Dateisystem nur Rechte für userB hat, dann würde zwar Samba den Zugriff erlauben (Applikation), aber das Dateisystem würde es trotzdem verhindern.
Ein Beispiel: Du hast einen admin und einen userB, zusätzlich eine Gruppe public und eine Gruppe private. admin in private und public, userB nur in public. Sagen wir dann du hast eine Freigabe unter /volume1/public und dort drin ein Verzeichnis public und eines private. Der admin soll in beiden Verzeichnissen lesen und schreiben können. Die Gruppe public nur in ihrem Verzeichnis. Sonst darf niemand lesen/schreiben auf diesen Verzeichnissen.
Wenn du das jetzt im Dateisystem machen willst

chown admin:public /volume1/public
chmod 0770 -R /volume1/public
chown -R admin:private /volume1/public/private
chown -R admin:public /volume1/public/public

mit obigen Rechten könntest du im DSM der Freigabe public auch Schreibrechte für die ganze Welt erlauben. Das Dateisystem würde immer noch dafür sorgen, dass nur admin und die Mitglieder der Gruppen private und public auf die Freigabe zugreifen dürfen