8
TrueNAS Filesystem ACL bei Freigabe innerhalb einer Freigabe
Mahlzeit und guten Hunger.
Ich habe eine TrueNAS 12 U8 aufgesetzt, eigentlich alles sehr angenehm. Allerdings habe ich eine besondere Freigabestruktur, vereinfacht etwa so:
Privat
---audio
user1
user2
---video
user1
user2
Dabei gibt es in allen drei Ebenen spezielle Berechtigungen und in zwei Ebenen Freigaben. Ebene 1 (Privat) ist der Einstieg für alle Benutzer. Ebene 2 (audio bzw. video) sind nochmal selbstständig frei gegeben um z.B. mit eigenen Usern von Medien-Server bzw. TVs gelesen werden zu können. Das lief früher auf einem Windows Server entsprechend und hat dort funktioniert.
Alle Freigaben sind jeder und Vollzugriff, das ist default bei TrueNAS. Die Rechte werden dann über die Filesystem ACL gesetzt und dort ggf. rekursiv, das klappt auch soweit. Jetzt habe ich zwei Probleme:
a) Es verhält sich etwas merkwürdig, manchmal verschwinden Rechte, ist aber nicht reproduzierbar. Das macht mir erstmal keine Sorgen, ich denke das war irgendwie ein Anwenderfehler meiner Seits. Es stellt sich mir aber die Frage ob es möglich ist Rechte zusätzlich (und rekursiv) zu vergeben, ohne die bestehenden Rechte anzupassen.
b) Das größere Problem: Ein User der Filesystem ACL Rechte auf einen Unterordner von "Privat" hält kann auf die Freigabe (die ja für jeden zugänglich ist) nur zugreifen, wenn er auch auf den Ordner "Privat" Rechte hat. Ich hätte jetzt angenommen, da es sich um eine eigene Freigabe handelt, wäre das nicht nötig. Der Zugriff erfolgt über eine Freigabe und auf einen Ordner auf den der User berechtigt ist. Ist das ein Bug oder habe ich das falsch verstanden?
Ich habe eine TrueNAS 12 U8 aufgesetzt, eigentlich alles sehr angenehm. Allerdings habe ich eine besondere Freigabestruktur, vereinfacht etwa so:
Privat
---audio
user1
user2
---video
user1
user2
Dabei gibt es in allen drei Ebenen spezielle Berechtigungen und in zwei Ebenen Freigaben. Ebene 1 (Privat) ist der Einstieg für alle Benutzer. Ebene 2 (audio bzw. video) sind nochmal selbstständig frei gegeben um z.B. mit eigenen Usern von Medien-Server bzw. TVs gelesen werden zu können. Das lief früher auf einem Windows Server entsprechend und hat dort funktioniert.
Alle Freigaben sind jeder und Vollzugriff, das ist default bei TrueNAS. Die Rechte werden dann über die Filesystem ACL gesetzt und dort ggf. rekursiv, das klappt auch soweit. Jetzt habe ich zwei Probleme:
a) Es verhält sich etwas merkwürdig, manchmal verschwinden Rechte, ist aber nicht reproduzierbar. Das macht mir erstmal keine Sorgen, ich denke das war irgendwie ein Anwenderfehler meiner Seits. Es stellt sich mir aber die Frage ob es möglich ist Rechte zusätzlich (und rekursiv) zu vergeben, ohne die bestehenden Rechte anzupassen.
b) Das größere Problem: Ein User der Filesystem ACL Rechte auf einen Unterordner von "Privat" hält kann auf die Freigabe (die ja für jeden zugänglich ist) nur zugreifen, wenn er auch auf den Ordner "Privat" Rechte hat. Ich hätte jetzt angenommen, da es sich um eine eigene Freigabe handelt, wäre das nicht nötig. Der Zugriff erfolgt über eine Freigabe und auf einen Ordner auf den der User berechtigt ist. Ist das ein Bug oder habe ich das falsch verstanden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2357083423
Url: https://administrator.de/contentid/2357083423
Printed on: April 26, 2024 at 22:04 o'clock
8 Comments
Latest comment
Moin,
die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.
Sobald du nachträglich etwas an den ACLs änderst, werden alle gesetzten Rechte überschrieben.
Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.
Gruß
Spirit
die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.
Sobald du nachträglich etwas an den ACLs änderst, werden alle gesetzten Rechte überschrieben.
Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.
Gruß
Spirit
Zitat von @Spirit-of-Eli:
die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.
Das habe ich probiert, aber wie gesagt ich habe User die dürfen nicht auf \\nas\Privat zugreifen, nur auf \\nas\Privat\audio . Daher habe ich für audio eine eigene Freigabe gemacht so das sie eigentlich auf \\nas\audio drauf kommen müssten. Geht aber nur wenn sie auch Rechte auf \\nas\Privat haben.die ACLs lässt du am besten nur auf der ersten Ebene anwenden. Darunter richtest du dir die Berechtigung am besten auf NTFS (soweit es Windows SMB Freigaben sind) Ebene wie gewünscht ein.
Auf dem Vorgängersystem Windows Server habe ich das genau so umgesetzt, auf TrueNAS verweigert es den Zugriff.
Sobald du nachträglich etwas an den ACLs änderst, werden alle gesetzten Rechte überschrieben.
Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.
Das war meine Frage zu a), so hab ich es jetzt auch gemacht.Ich hoffe das ist in aller kürze verständlich. Ansonsten kann ich dir später ausführlicher antworten.
Was du suchst ist das Feature der Freigabe:
https://blog.filegarden.net/2021/03/26/truenas-12-access-based-share-enu ...
damit kannst du den restlichen Inhalt in dem Ordner/Freigabe ausblenden wenn der User dort nicht mal Leserechte hat.
https://blog.filegarden.net/2021/03/26/truenas-12-access-based-share-enu ...
damit kannst du den restlichen Inhalt in dem Ordner/Freigabe ausblenden wenn der User dort nicht mal Leserechte hat.
Also du meinst ich sollte einen anderen Weg gehen und \\nas\Privat für alle frei geben (eine Freigabe gesamt), dann den User nur auf \\nas\Privat\audio berechtigen und ihm die Sicht auf \\nas\Privat\sonstige verweigern, korrekt? Ja wäre ein Workaround.
Ja genau, ich weiß nicht genau wie du das bei Windows gemacht hast. Aber dort muss zumindest das Ausblenden eben so aktiviert werden. Das ist kein Standard.
Zitat von @Spirit-of-Eli:
Ja genau, ich weiß nicht genau wie du das bei Windows gemacht hast. Aber dort muss zumindest das Ausblenden eben so aktiviert werden. Das ist kein Standard.
So ganz weiß ich das auch nicht mehr. Das schöne an der Lösung war bisher ein sehr kurzer Pfad für diverse Meiden-Geräte, wo die Eingabe ja auch immer etwas Mühe macht. Ich hoffe die können alle mit der Lösung, manche sind echt zickig. Unter Windows geht das natürlich so.Ja genau, ich weiß nicht genau wie du das bei Windows gemacht hast. Aber dort muss zumindest das Ausblenden eben so aktiviert werden. Das ist kein Standard.
Ich lass den Beitrag mal heute noch offen, vielleicht hat noch jemand eine Info zu meiner Variante.
Wenn du unter Windows keine Probleme hast, dann hier mit sicher auch nicht. Da Regelwerk muss natürlich stimmig sein.
Ich habe jetzt beide Freigaben gelassen aber einfach die selben Rechte gesetzt, so kann ich den kurzen Pfad nutzen. Das der User Leserechte auf einen anderen Ordner (hier "Privat") hält ist ja nicht so tragisch.