Konflikte zwischen Gruppen-Privilegien

[silofonari]

Hallo zusammen,

ich wollte meine DiskStation für zukünftige Benutzer fit machen und deshalb mal anständige Gruppen und entsprechende Berechtigungen einrichten.

Folgende Gruppen sollen realisiert werden (zusätzlich zu user und administrator):

media -> Zugriff auf die Audio & Video Station, aber sonst nichts. Keinerlei andere Rechte, nicht mal zum Lesen.
files -> Zugriff auf File Station und den home-Ordner (Benutzerbasis), aber nicht den homes Ordner - letzterer soll dem Admin vorbehalten bleiben.

Probleme dabei sind aktuell, dass einige User in beiden Gruppen Mitglied sein sollen. Wegen der Berechtigungs-Priorität NO > RW > RO können diese dann aber nicht von den Rechten der files Gruppe profitieren, da ihre Mitgliedschaft in media ihnen diese wieder wegnimmt (NO). Unabhängig davon hat eine reine Mitgliedschaft in files bei mir bisher zur Folge, dass sie eben nicht nur auf home, sondern auch auf homes zugreifen können - lesen & schreiben - was auch absolut nicht im Sinne des Erfinders ist.

Ich wäre wirklich froh, wenn ihr ein paar Denkanstöße für mich hättet, wie ich das geregelt bekomme.


Vielen lieben Dank!

 

[dil88]

Könntest Du bitte einmal genau die Rechtezuordnung der media-Gruppe aufführen? Wenn Du dort nur Rechte definierst, aber keine explizit nimmst ("Kein Zugriff" gesetzt), dann sollte das nach meinem Verständnis eigentlich funktionieren. Ich kanns gerade an meinem Setup nicht überprüfen, meine das aber auch zu nutzen.

 

[silofonari]

Okay kurz zum allg. Verständnis die Erläuterung:
leer = keine Rechtezuordnung
r = lesen
rw = lesen & schreiben
- = kein Zugriff / Verweigern
+ = zulassen

media:
homes: leer
music: r
usbshare1: -
video: r
web: -

audio station: +
download station: -
ftp: -
file station: leer
netzwerksicherungsziel: -
note station: -
video station: +
webdav: -

files:
homes: rw
music: leer
usbshare1: leer
video: leer
web: leer

audio station: leer
download station: leer
ftp: leer
file station: +
netzwerksicherungsziel: leer
note station: leer
video station: leer
webdav: leer



Danke für die Hilfe

 

[dil88]

Das hatte ich vermutet. Wenn Du bei media z.B. für die gemeinsamen Ordner "web" kein Flag setzt, also auch nicht bei "kein Zugriff", dann bekommt jemand mit der Gruppe media auch weiterhin keinen Zugriff, wenn ihn das Recht nicht explizit im User oder über eine andere Gruppe eingeräumt wird. Du torpedierst mit dieser Einstellung aber nicht Rechte, die über andere Gruppen gegeben werden. Versuche es bitte einmal so.

 

[silofonari]

Das hatte ich vermutet. Wenn Du bei media z.B. für die gemeinsamen Ordner "web" kein Flag setzt, also auch nicht bei "kein Zugriff", dann bekommt jemand mit der Gruppe media auch weiterhin keinen Zugriff, wenn ihn das Recht nicht explizit im User oder über eine andere Gruppe eingeräumt wird. Du torpedierst mit dieser Einstellung aber nicht Rechte, die über andere Gruppen gegeben werden. Versuche es bitte einmal so.

Okay das scheint tatsächlich zu klappen, vielen Dank für die schnelle Lösung diesbezüglich. Ich war nach der "Vorschau" der Berechtigungen im jeweiligen User-Setup gegangen, und dort stand dann überall "Zugriff", deshalb dachte ich, der User hätte dann quasi freie Hand zu tun und zu lassen, was er wolle...

Ein Problem habe ich aber noch. Ich habe dem neuen benutzer ein Kontingent von 10 GB zugewiesen. Wenn dieser sich jedoch einloggt, kann er (in home) jedoch keine Datei / Ordner anlegen, weil sein Kontingent angeblich überschritten sei. Wenn ich mir das als Admin nun nochmal in der Systemsteuerung ansehe, dann steht da tatsächlich, dass gut 11GB von 10GB des Kontingents des Users verwendet sind - und das obwohl der User frisch angelegt wurde und noch nichts gemacht hat. Wie kann das sein?!?

 

[silofonari]

Hat niemand eine Idee, was ich hier falsch machen könnte bzw. was den Fehler verursacht?

 

[dil88]

Was spricht dagegen, das Quota etwas höher zu setzen?

 

[silofonari]

Was spricht dagegen, das Quota etwas höher zu setzen?

Praktisch nichts, theoretisch kann das doch aber nicht angehen... Ich möchte, wenn ich Benutzer angebe, einfach festlegen können, wieviel Volumen sie haben, und gut ist. Wer ein öffentliches NAS betreibt, der möchte doch nicht einfach die Sachen irgendwie hinbiegen sondern schön sauber einstellen...

 

[dil88]

Es hat ja auch niemand etwas dagegen, dass Du Dich auf der Shell mittels root-Account schlau darüber machst, was da lost ist. Mein Vorschlag war rein pragmatisch gemeint, vor allem vor dem Hintergrund, dass Dein Quota schon sehr knapp ausfällt.

 

[silofonari]

Es hat ja auch niemand etwas dagegen, dass Du Dich auf der Shell mittels root-Account schlau darüber machst, was da lost ist. Mein Vorschlag war rein pragmatisch gemeint, vor allem vor dem Hintergrund, dass Dein Quota schon sehr knapp ausfällt.

Ich habe den Benutzer nun nochmal gelöscht und (wieder mit 10GB) neu angelegt. Jetzt scheint es (vorerst) zu funktionieren. Ich melde mich, wenn sich daran nochmal was ändert.

Zunächst also vielen Dank für den Beistand bei meinem Problem!