ukulele-7
Goto Top

TrueNAS Filesystem ACL bei Freigabe innerhalb einer Freigabe

Mahlzeit und guten Hunger.

Ich habe eine TrueNAS 12 U8 aufgesetzt, eigentlich alles sehr angenehm. Allerdings habe ich eine besondere Freigabestruktur, vereinfacht etwa so:

Privat
---audio
user1
user2
---video
user1
user2

Dabei gibt es in allen drei Ebenen spezielle Berechtigungen und in zwei Ebenen Freigaben. Ebene 1 (Privat) ist der Einstieg für alle Benutzer. Ebene 2 (audio bzw. video) sind nochmal selbstständig frei gegeben um z.B. mit eigenen Usern von Medien-Server bzw. TVs gelesen werden zu können. Das lief früher auf einem Windows Server entsprechend und hat dort funktioniert.

Alle Freigaben sind jeder und Vollzugriff, das ist default bei TrueNAS. Die Rechte werden dann über die Filesystem ACL gesetzt und dort ggf. rekursiv, das klappt auch soweit. Jetzt habe ich zwei Probleme:

a) Es verhält sich etwas merkwürdig, manchmal verschwinden Rechte, ist aber nicht reproduzierbar. Das macht mir erstmal keine Sorgen, ich denke das war irgendwie ein Anwenderfehler meiner Seits. Es stellt sich mir aber die Frage ob es möglich ist Rechte zusätzlich (und rekursiv) zu vergeben, ohne die bestehenden Rechte anzupassen.

b) Das größere Problem: Ein User der Filesystem ACL Rechte auf einen Unterordner von "Privat" hält kann auf die Freigabe (die ja für jeden zugänglich ist) nur zugreifen, wenn er auch auf den Ordner "Privat" Rechte hat. Ich hätte jetzt angenommen, da es sich um eine eigene Freigabe handelt, wäre das nicht nötig. Der Zugriff erfolgt über eine Freigabe und auf einen Ordner auf den der User berechtigt ist. Ist das ein Bug oder habe ich das falsch verstanden?

Content-ID: 2357083423

Url: https://administrator.de/contentid/2357083423

Ausgedruckt am: 18.12.2024 um 21:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 31.03.2022 um 12:57:35 Uhr
Goto Top
Moin,

die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.

Sobald du nachträglich etwas an den ACLs änderst, werden alle gesetzten Rechte überschrieben.
Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.

Gruß
Spirit
ukulele-7
ukulele-7 31.03.2022 um 13:23:25 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.
Das habe ich probiert, aber wie gesagt ich habe User die dürfen nicht auf \\nas\Privat zugreifen, nur auf \\nas\Privat\audio . Daher habe ich für audio eine eigene Freigabe gemacht so das sie eigentlich auf \\nas\audio drauf kommen müssten. Geht aber nur wenn sie auch Rechte auf \\nas\Privat haben.

Auf dem Vorgängersystem Windows Server habe ich das genau so umgesetzt, auf TrueNAS verweigert es den Zugriff.
Sobald du nachträglich etwas an den ACLs änderst, werden alle gesetzten Rechte überschrieben.
Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.
Das war meine Frage zu a), so hab ich es jetzt auch gemacht.
Spirit-of-Eli
Spirit-of-Eli 31.03.2022 aktualisiert um 13:32:01 Uhr
Goto Top
Was du suchst ist das Feature der Freigabe:
unbenannt

https://blog.filegarden.net/2021/03/26/truenas-12-access-based-share-enu ...

damit kannst du den restlichen Inhalt in dem Ordner/Freigabe ausblenden wenn der User dort nicht mal Leserechte hat.
ukulele-7
ukulele-7 31.03.2022 um 13:53:16 Uhr
Goto Top
Also du meinst ich sollte einen anderen Weg gehen und \\nas\Privat für alle frei geben (eine Freigabe gesamt), dann den User nur auf \\nas\Privat\audio berechtigen und ihm die Sicht auf \\nas\Privat\sonstige verweigern, korrekt? Ja wäre ein Workaround.
Spirit-of-Eli
Spirit-of-Eli 31.03.2022 aktualisiert um 13:56:58 Uhr
Goto Top
Ja genau, ich weiß nicht genau wie du das bei Windows gemacht hast. Aber dort muss zumindest das Ausblenden eben so aktiviert werden. Das ist kein Standard.
ukulele-7
ukulele-7 31.03.2022 um 14:07:00 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ja genau, ich weiß nicht genau wie du das bei Windows gemacht hast. Aber dort muss zumindest das Ausblenden eben so aktiviert werden. Das ist kein Standard.
So ganz weiß ich das auch nicht mehr. Das schöne an der Lösung war bisher ein sehr kurzer Pfad für diverse Meiden-Geräte, wo die Eingabe ja auch immer etwas Mühe macht. Ich hoffe die können alle mit der Lösung, manche sind echt zickig. Unter Windows geht das natürlich so.

Ich lass den Beitrag mal heute noch offen, vielleicht hat noch jemand eine Info zu meiner Variante.
Spirit-of-Eli
Spirit-of-Eli 31.03.2022 um 14:26:34 Uhr
Goto Top
Wenn du unter Windows keine Probleme hast, dann hier mit sicher auch nicht. Da Regelwerk muss natürlich stimmig sein.
ukulele-7
Lösung ukulele-7 01.04.2022 um 15:03:27 Uhr
Goto Top
Ich habe jetzt beide Freigaben gelassen aber einfach die selben Rechte gesetzt, so kann ich den kurzen Pfad nutzen. Das der User Leserechte auf einen anderen Ordner (hier "Privat") hält ist ja nicht so tragisch.