/homes/<user> mit nfs mounten ?

[mud_diver]

Hallo,

ich versuche, die home directorys der jeweiligen nutzer unter nfs zu mounten. der mount selbst funktioniert problemlos, allerdings hat der benutzer dann nur mehr leserechte ?

irgendwelche tipps ?

danke im voraus für jede hilfe

mfg

 

[ayron]

Nachdem ich selbiges Problem hatte und feststellen musste das hier im Board scheinbar echt wenig zu NFS unter Linux steht bin ich zu folgender erkenntnis gelangt - ich bitte um Berichtigung falls ich irre:

Bei der NFS-Freigabe werden auch die Schreibrechte mit übernommen. Bei SMB ist es ja so, dass du unter Windows und DSM den selben Benutzernamen+Kennwort verwenden kannst und du kannst dich ohne Probleme aufs NAS klicken sofern der Gemeinsame Ordner dir gehört. Oder du loggst dich einfach mit deinen Zugangsdaten manuell ein und hast dann die Rechte wie der DSM-Nutzer.

Bei NFS unter Linux ist es anders. Wenn du hier die Schreibrechte möchtest, müsstest du eigentlich die gleiche UserID "UID" besitzen. Der gleiche Benutzername wie der Besitzer der Dateien auf dem NAS reicht nicht. Hintergrund ist, dass der Nutzername über eine Zahl kodiert wird, der selbe Name aber auf zwei Maschinen zwei unterschiedliche Zahlen "UIDs" zugewisen bekommen kann. Die UID zu ändern auf dem NAS ist schwierig, besser man macht das auf dem Linux Clienten. Wenn du im DSM Rechtsklick-->Eigenschaften wählst siehst du wie der Benutzer auf DSM heißt. Wenn du in Linux die Eigenschaften aufrufst steht dann dort die UID z.b. 1028, das heißt du müsstest deine Linux UID auf diese ändern. Das ist aber gar nicht so trivial, da du dann alle deine Daten auf der Linux maschiene auch dahingehend anpassen musst, sonst besitzt du diese nach Änderung die Dateien gar nicht mehr.

Das kann es ja eigentlich nicht sein, und zum Glück muss es das auch nicht. Die einfache Lösung:
Im DSM unter bei der jeweiligen NFS-Berechtigung des Gemeinsamen Ordner muss man bei "Squash" einfach auf "Alle User wie Administartoren behandeln" einstellen. Die Gruppe Administratoren muss natürlich Schreib/Lese-Rechte auf DSM eingestellt haben (ist aber ja Standard).

Das für dann dazu, dass Dateien die du via NFS aufs NAS schiebst oder erstellst dann dem Benutzer "admin" auf der DSM gehören. Ich frage mich ob dass irgenwelche Nachteile hat? Nachdem man die Zugriffsrechte im DSM ja zusätzlich konfiguriert ist es ja hoffentlich nicht so wichtig wer der Besitzer der Datei/Ordner ist?

 

[bm1203]

Das ist aber gar nicht so trivial, da du dann alle deine Daten auf der Linux maschiene auch dahingehend anpassen musst, sonst besitzt du diese nach Änderung die Dateien gar nicht mehr.

Ich bin mir nicht sicher, ob es da Unterschiede bei anderen Distributionen gibt, da ich nur Archlinux nutze, aber die Änderung der UID auf dem PC ist bei mir mit

usermod -u <neue_UID> -g <neue_GID> <username>

erledigt gewesen, wonach alle Dateien dieses Benutzers mit der neuen UID versehen waren. Soll die Gruppen-ID nicht verändert werden ( ist nicht zwingend erforderlich), kann der Teil

-g <neue_GID>

auch weggelassen werden.

Ich find diese Variante sinnvoller, da damit die Besitzverhältnisse an den Dateien bereits eindeutig geklärt sind, und nicht Dateien eines Benutzers ggfs auf andere ( admin oder was auch immer ) gemappt werden müssen.

MfG
bm1203

 

[ayron]

Ich find diese Variante sinnvoller, da damit die Besitzverhältnisse an den Dateien bereits eindeutig geklärt sind, und nicht Dateien eines Benutzers ggfs auf andere ( admin oder was auch immer ) gemappt werden müssen.

Kann du das näher erleutern? Welches Problem hab ich denn wenn die Daten "admin" auf der DS gehören. Die Zugriffe sind ja alle geregelt, wem das ganze gehört ist für was genau relevant?

Ich hatte das nur so gelesen, als Arch-User hast du sicherlich mehr Ahnung als ich. Das heißt du änderst deine UID einfach und musst nicht die Dateien zusätzlich ändern? Macht das Arch dann automatisch? Beispiel: Datei auf dem desktop gehört Benutzer mit UID 123, du änderst die UID des Benutzers und jetzt gehört die Datei aber immer noch der UID 123 und nicht mehr dem Benutzer, da im Hintergrund ja alles über die UID läuft und nicht über die Namen. So hatte ich das ganze jedenfalls verstanden.

etwas Off-Topic: Ist es für Heimanwender praktikabel die Authentifizierung via Keberos noch näher einzuschränken? So kann ja jeder mit der freigeschaltetem IP im Netzwerk die Ordner mounten, wenn ich Squash eingeschaltet habe, dann sogar mit Schreibrechten. In deinem Setup mit anderer UID wenigstens mit Leserechten. Ist das ein Problem?

 

[bm1203]

Kann du das näher erleutern? Welches Problem hab ich denn wenn die Daten "admin" auf der DS gehören. Die Zugriffe sind ja alle geregelt, wem das ganze gehört ist für was genau relevant?

Wenn durch weitere Einstellungen auf anderen Ebenen auf der DS geregelt wird, wer wie worauf zugreifen darf und das so funktioniert, ist es in der Tat recht egal, wem eine Datei gehört und wem nicht. Ich habe mich aber mit der Zeit daran gewöhnt und möchte es auch beibehalten, daß eben nur der Besitzer einer Datei darauf vollen Zugriff hat, erst recht, wenn es um das /home-Verzeichnis des Benutzers geht.
Bei anderen gemeinsamen Ordnern, die für den Zugriff von mehreren Leuten gedacht sind, würde ich das über die Gruppenberechtigungen regeln, wenn erforderlich.

Das heißt du änderst deine UID einfach und musst nicht die Dateien zusätzlich ändern? Macht das Arch dann automatisch?

Um ganz sicher zu gehen ( macht man ja auch nicht jeden Tag ), habe ich das vorhin VOR dem Posten nochmal getestet, am Beispiel eines Benutzers "gast", mit ein paar Beispieldateien im Ordner /home/gast/. Die Vorgehensweise war lediglich folgende:

1. Benutzer "gast" darf nicht angemeldet sein
2. in der Konsole als root den Befehl

usermod -u 1029 gast

eingeben

Die 1029 ist die neue UID des Benutzers gast ( war vorher 1004 ). Zur Kontrolle habe ich dann den Befehl

ls -lna /home/gast

genutzt, um zu schauen, welche UID die Dateien nun haben...

-rw-r--r--  1 1029 1004   341 26. Mai 2014  .xinitrc
-rw-r--r--  1 1029 1004   100 19. Dez 2010  .xsession
-rw-------  1 1029 1004     0  9. Feb 2017  .xsession-errors
-rw-r--r--  1 1029 1004 37670  9. Feb 2017  .zcompdump
-rw-r--r--  1 1029 1004    72 24. Dez 2014  .zprofile
-rw-r--r--  1 1029 1004  1208 24. Dez 2014  .zshrc

Et voila... was ich, wie bereits gesagt, nicht weiß, ist, ob der Befehl "usermod" sich in anderen Distributionen anders verhält. Ich nehm es nicht an, habs aber auch nicht getestet...
Im Synology-Wiki habe ich auch gelesen, daß man nach der Änderung der UID mittels "find" die Rechte der Dateien noch ändern muß, daher auch meine Einschränkung, daß es bei mir mit aktuellem Archlinux so funktioniert und keine weiteren Schritte notwendig waren. Mag sein, daß sich da was seit Erstellung des Wikis was geändert hat, oder es distributionabhängig Unterschiede gibt...

etwas Off-Topic: Ist es für Heimanwender praktikabel die Authentifizierung via Keberos noch näher einzuschränken? So kann ja jeder mit der freigeschaltetem IP im Netzwerk die Ordner mounten, wenn ich Squash eingeschaltet habe, dann sogar mit Schreibrechten. In deinem Setup mit anderer UID wenigstens mit Leserechten. Ist das ein Problem?

Mit Kerberos habe ich mich noch nicht auseinandergesetzt, kann da also nicht wirklich was zu sagen. Ich habe es so eingerichtet, daß die Home-Verzeichnisse nur vom entsprechenden PC aus gemountet werden können und nicht von jeder beliebigen IP im Heimnetzwerk. Gemeinsame Ordner, wie z.B. Musik oder Filme, können von jedem im Heimnetzwerk gemountet werden, aber nur zum Lesen (über Gruppenberechtigung geregelt). Schreiben darf im Film-Verzeichnis nur ne Dreambox zum Aufnehmen...

MfG
bm1203

 

[ayron]

Sehr aufschlussreich! Danke für deine Erläuterungen!

Wenn es um /homes geht gebe ich dir natürlich vollkommen recht, da ist es schon sinnvoll wenn der Benutzer der Besitzer ist.

Mit Kerberos habe ich mich noch nicht auseinandergesetzt, kann da also nicht wirklich was zu sagen. Ich habe es so eingerichtet, daß die Home-Verzeichnisse nur vom entsprechenden PC aus gemountet werden können und nicht von jeder beliebigen IP im Heimnetzwerk. Gemeinsame Ordner, wie z.B. Musik oder Filme, können von jedem im Heimnetzwerk gemountet werden, aber nur zum Lesen (über Gruppenberechtigung geregelt). Schreiben darf im Film-Verzeichnis nur ne Dreambox zum Aufnehmen...

Ich habe auch nur die eine IP eingestellt. Zu Hause ist es ja auch ok, via SMB erscheint es mir aber etwas "sicherer" da man wenigstens noch ein Kennwort braucht. Alles was ich zu Kerberos gelesen habe erschien mir ziemlich kompliziert und nicht für diesen Einsatzzweck angemessen.

 

[mud_diver]

Problem gelöst

Hallo,

erstmal vielen Dank für Eure Hilfe und Ratschläge ! Problem gelöst !

Hier meine Erkentnisse mit Hilfe des Synology Supports.

Das Problem ist, wie bereits erwähnt, die falsche Zuordnung der uid / gid, d.h. der Benutzer auf der DS hat eine andere UID/GID wie der Benutzer am Client. Da ja eigentlich NFS4 verendet wird / werden sollte, sollte ja per Definition der Benutzername bzw. Gruppe genügen. Ist aber u.U. nicht so. Daher sollte als erstes überprüft werde, ob der Parameter in sys/module/nfs(d)/parameters/nfs4_disable_idmapping auf Y steht - sollte per default sowohl auf der DS als auch beim Client so eingestellt sein. Nach einem Neustart sollte es dann funktionieren.

Wenn nicht, dann wie auch schon erwähnt wurde, die Option squash auf "alle User als Administrator" setzen, Das funktiniert dann in jedem Fall.

Synology Support empfahl mir, LDAP zu verwenden und wenn möglich Kerberos. Ich komme allerdings vorläufig mit der squash option ganz gut zurecht.

Die uid auf der Station zu ändern halte ich für eine schlechte Variante, da ja alle anderen Rechte dann evtl. nachgezogen werde. SMB war eigentlich aus Performancegründen keine Option.

Ich möchte mich für Eure Hilfe recht herzlich bedanken und möchte bei der Gelegenheit auch den Support von Synology erwähnen, der wirklich sehr sehr gut und kompetent war.