Keine Leserechte auf der NFS-Freigabe

[bubblegun]

Liebe Wissende!
Nachdem meine DS110J doch recht langsam vor sich hinwerkelte hab ich mir eine DS218play geholt. Aber seitdem habe ich erhebliche Probleme mit den NFS-Freigaben auf dem NAS. Meine Mobotix-Kameras hatten auf dem alten 110er ihre Alarmbilder abgeladen, das funktioniert jetzt auch noch. Wenn ich mir aber diese Bildsequenzen direkt auf der Kamera anschauen will, findet die Mobotix keine Bilder. Also die Alarmbilder sind auf der DS218 gespreichert, nur kann die Kamera sie offensichtlich nicht abrufen. Ich war der Meinung dass ich die Konfiguration doch recht akribisch übertragen hätte, aber irgendwo hab ich da einen Fehler drin.
Auch TV-Aufnahmen von meinem OS-Mini+ klappen nicht, ich meinte ich hätte die entsprechenden Freigaben ordentlich abgearbeitet, aber nach etwa 90 Sekunden bricht die Aufnahme ab. Momentan bin ich etwas gefrustet, neuer Provider weil der alte ISDN gekündigt hat, dazu neuen Telefonieanbieter und ich hab so ziemlich alles falsch gemacht, da sieht man irgendwann gar nichts mehr und läuft nur noch mit dem Kopf an die Wand.
Kann mir da schon mal grundsätzlich etwas zu den NFS-Freigaben sagen, oder was muss ich da an Informationen liefern?

 

[Benares]

NFS selbst kennt keine Zugriffsrechte, es mapped nur ein Remote-Verzeichnis in irgendeinen Ordner, der dann so aussieht als wäre es ein lokales Verzeichnis. Bei den Berechtigungen kommen da die ganz normalen Linux-Rechte zum tragen. Das Problem dabei ist, dass die User- und Group-IDs bei Quelle und Ziel i.d.R. nicht gleich sind. Das kann dazu führen, dass es halt letztendlich nicht passt.
Schau mal über die Konsole im Ziel-Ordner, welche Rechte da zu sehen sind. GGf. musst du Lese-Rechte für "World" an der Quelle erteilen.

 

[bubblegun]

Danke für Deine Antwort, die mich aber nicht besonders erleuchtet. Anscheinend war das auf der DS110J noch nicht so geregelt, denn dort klappte der Zugriff einwandfrei. Erst jetzt auf der DS218 hab ich die Probleme, dass die Kamera die von ihr auf dem NAS angelegten Verzeichnisse nicht lesen kann/darf. Ganz auf den Kopf gefallen bin ich zwar nicht, aber ich tu mich halt mit Linux schon ein bischen schwer. Heißt ich geh mit Putty auf die 218 und sehe mir da die Rechte an? Und wie muss das dann dort aussehen?
Denn es ist ja so, dass das ja alle Mobotixen sind, die da ihre Probleme haben. Fällt mir jetzt noch ein, dass dbei der 110er Admin und User angelegt wurden und gut war es. Bei der 218 hat mir die Kiste dann gesagt, dass der Admin irgendwas nicht darf oder nicht dürfen soll und deshalb gesperrt ist/werden soll? oder so ähnlich?

 

[Benares]

Wie sieht denn die Struktur auf der DS aus? Hat da jede Kamera ein eigenes Verzeichnis?

Ja, geh mal mit putty/ssh auf die DS und melde dich als Admin an, danach ruf "ls -als /volume1" auf. In der ersten Spalte siehst du die Linux-Rechte. Wenn da sowas wie "drwxrwxrwx", darf jeder lesen und schreiben, bei drwx------ z.B. nur der Eigentümer. "d" steht für Verzeichnis, jedes der 3 "rwx" für die Rechte von Owner, Gruppe bzw. Rest. Owner und Gruppe stehen in den Spalten 3 und 4. Wenn hinter dem letzten rwx noch ein "+" steht, gelten noch erweiterte Berechtigungen.

Ändern kannst du die Berechtigungen nur als root. Dazu wirst du mit "sudo -i" (Passwort nochmal eingeben). Gehändert wird mit "chmod 777 /volume1/<Verzeichnis>" für ""drwxrwxrwx" wobei die 3 Zahlen binär die Rechte angeben (0="---" bis 7="rwx")

Poste mal bitte die Ausgabe für deine Kamera-Verzeichnisse.

 

[Puppetmaster]

Warum sollten sich die Rechte an den Verzeichnissen und Dateien denn geändert haben?
Und überhaupt: unter NFS gebe ich doch auf der DS letztlich nur eine IP frei, von der aus dann der Zugriff erfolgen kann. Also der Client wird zum Zugriff ermächtigt, kein Benutzer. Dies ist zumindest bis NFSv3 so geregelt.

 

[Benares]

Weil er eine neue DS hat?
Die IP-Freigabe von NFS bestimmen nur die Rechte fürs mounten selbst, nicht aber die Rechte, die man hat, wenn der Mount dann besteht. Dann gelten die ganz normalen Linux-Rechte.

 

[Puppetmaster]

Vielleicht fehlt es mir hier an Vorstellungskraft.
Bei mir gewähre ich diversen RasPis, Streamingeräten etc. per NFS Freigabe (IP) Zugriff auf die DS. Dabei gebe ich in der DS lediglich die IP des zugreifenden Geräts an. Dabei habe ich noch nie Probleme gehabt.
Sollte doch bei den Kameras genauso sein: die IP der Kamera wird freigegeben, damit ist der Zugriff möglich.

Ist ja auch merkwürdig, dass die Cam offenbar schreiben kann, dann aber nicht lesen. Wie will man das mit Rechten erklären?

 

[Benares]

Bei mir gewähre ich diversen RasPis, Streamingeräten etc. per NFS Freigabe (IP) Zugriff auf die DS

Und wie sehen dann bei dir die Verzeichnis-Rechte auf der DS und auf dem RasPI des Mount-Verzeichnisses nach dem mount aus? Läuft der Zugriff zufällig als root (UID 0)? Oder hältst du die UIDs/GIDs auf beiden Seiten gleich oder mappst sie mit anonuid=xxx,anongid=yyy bei den NFS-Optionen (s. /etc/exports)?

Ist ja auch merkwürdig, dass die Cam offenbar schreiben kann, dann aber nicht lesen. Wie will man das mit Rechten erklären?

Das ist zugegeben sehr merkwürdig, mit "-wx" aber denkbar.

 

[bubblegun]

Da hab ich ja erstmal zu tun, schön dass mir jemand zuhört und zu helfen versucht. Aber, bei uns ist es saukalt geworden, muss erst mal eine heiße Badewanne nehmen, dann werd ich mich heute abend dransetzen. Berichte über dann meine Horizonterweiterung!

 

[Puppetmaster]

Läuft der Zugriff zufällig als root (UID 0)? Oder hältst du die UIDs/GIDs auf beiden Seiten gleich oder mappst sie mit anonuid=xxx,anongid=yyy bei den NFS-Optionen (s. /etc/exports)?

Vermutlich als root, ich denke, das ist im Standard so gesetzt, wenn ich auf der DS eine NFS Freigabe mache.
Die UIDs/GIDs habe ich mir in dem Zusammenhang eben noch nie ansehen müssen.

Gemountet wird dann per mount -t nfs

mount -t nfs (-o soft) <IP.DER.DS>:/<Freigabepfad> /<Zielpfad>

That's it.

 

[Benares]

Ich meinte, was ist Server-seitig eingestellt (/etc/exports)?. Bei mir steht da z.B.

/volume1/video  192.168.0.0/255.255.255.0(rw,async,no_wdelay,insecure,no_root_squash,insecure_locks,sec=sys,anonuid=1025,anongid=100)

Bedeutet: Alle Hosts in meinem Subnetz dürfen rw-Mounten (bedeutet aber nicht, dass sie auch wirklich schreiben dürfen), unbekannte User werden auf Guest (UID 1025), unbekannte Gruppen auf users (GID 100) gemappt.
root (UID 0) ist unproblematisch, den gibt's ja auf beiden Seiten.

Ausschlaggebend ist, was "ls -als /<Zielpfad>" auf dem RasPi letztendlich an Rechten zeigt.

 

[Puppetmaster]

Sieht bei mir ähnlich aus, also eigentlich identisch, ausser, dass die Zeile weitergeht mit

 <ZIEL.IP>(rw,async,no_wdelay,no_root_squash,insecure_locks,sec=sys,anonuid=1025,anongid=100)

 

[Benares]

Du beschränkst den Mount wohl nur auf eine IP, also implizit <ZIEL.IP>/255.255.255.255

 

[mamema]

Berechtigungsprobleme sind nicht bei den Berechtigungen auf File Ebene gegeben, sondern mit welchem User man zugreift. Wenn da was schiefhängt, dann am Squash Parameter drehen.

 

[bubblegun]

Wie sieht denn die Struktur auf der DS aus? Hat da jede Kamera ein eigenes Verzeichnis?

Ja, für jede Kamera wurde in der Systemsteuerung ein eigener "Gemeinsamer Ordner" angelegt

Ja, geh mal mit putty/ssh auf die DS und melde dich als Admin an, danach ruf "ls -als /volume1" auf. In der ersten Spalte siehst du die Linux-Rechte. Wenn da sowas wie "drwxrwxrwx", darf jeder lesen und schreiben, bei drwx------ z.B. nur der Eigentümer. "d" steht für Verzeichnis, jedes der 3 "rwx" für die Rechte von Owner, Gruppe bzw. Rest. Owner und Gruppe stehen in den Spalten 3 und 4. Wenn hinter dem letzten rwx noch ein "+" steht, gelten noch erweiterte Berechtigungen.

Da beißt es dann aus. Ich komme mit Putty auf meinen Raspberry, aber nicht auf die DS218. "connection refused" bekomme ich zur Antwort, wenn ich die DS218 aufrufe. Da ich eine etwas eigenwillige Netzwerkstruktur habe hab ich das dann nochmals aus dem Netzwerksegment probiert in dem die DS218 angesiedelt ist aber auch da erhalte ich keine Antwort/Login. Heißt ich mache beim Aufruf schon etwas falsch, denn der Raspi ist auch in dem Netzwerksegment und erreichbar.

Ändern kannst du die Berechtigungen nur als root. Dazu wirst du mit "sudo -i" (Passwort nochmal eingeben). Gehändert wird mit "chmod 777 /volume1/<Verzeichnis>" für ""drwxrwxrwx" wobei die 3 Zahlen binär die Rechte angeben (0="---" bis 7="rwx")

Poste mal bitte die Ausgabe für deine Kamera-Verzeichnisse.

Wie denn ohne Arme, mit welchem Aufruf kann ich die DS218 mit Putty erreichen? Auch mit Win-SCP ausprobiert, die Verbindung wird von der DS218 abgelehnt.
Also nochmal auf meine präzise Art beschrieben: Die Mobotixen können in das Verzeichnis schreiben, denn die Ordner mit den ganzen Alarmbildern sind auf der 218 abgelegt. Wenn ich aber versuche diese Alarmbilder über die Kamera abzurufen, dann bekomme ich die Bilder vorgelegt die im Zwischenspeicher der Kamera sind (deshalb ist mir das lange nicht aufgefallen) aber die Bilder die auf der DS218 abgelegt sind kann die Kamera nicht anzeigen.

 

[Benares]

Der SSH-Dienst auf der DS muss auch aktiviert sein (s. Systemsteuerung, Terminal & SNMP) und, falls die Firewall auf der DS aktiv ist, muss auch der Zugriff auf Port 22 aus dem lokalen Netz erlaubt sein.

 

[bubblegun]

Man möcht es nicht glauben, was alles möglich ist, wenn man den richtigen Schalter kennt! Also so wie es aussieht, sind die Kamraverzeichnisse alle offen wie ein Scheunentor, hab ich aus Verzweiflung für alle User und Gruppen auf der DS218 geöffnet. Auf der Kamera sind die User identisch mit den angelegten Usern auf der DS218. Und trotzdem klappt der Lese-Zugriff von der Kamera aus einfach nicht. Anbei der SCR, bis auf tmp, video, web und winfront sind das alles Verzeichnisse für die Kameras. Wobei mir ein Ordner fehlt, stell ich fest nachdem ich dreimal überprüft hab.

 

[laserdesign]

und wie sehen die Rechte von den Mountpoints aus??

 

[bubblegun]

Sorry, hatte mich mal mit Linux befasst, ist aber schon sehr lange her, so dass ich mit Deiner Frage nicht klar komme. Was muss ich wo aufrufen, um das zu beantworten?

 

[Benares]

Interessant wäre die Ausgabe von z.B. "synoacltool -get /volume1/vorne" um auch die erweiterten Berechtigungen zu sehen.

Dann probier mal eine der Kameras auf winfront umzubiegen (das scheint das einzige Verzeichnis ohne erweiterte Berechtigungen zu sein), ob damit der Effekt weg ist. Wenn ja, mach mal z.B. ein "chmod 777 /volume1/vorne" um das + (=es existieren erweiterte Berechtigungen) wegzubekommen (vorher ein "sudo -i" absetzen, damit du die benötigten Rechte dazu hast).

Was @laserdesign wohl meint: Kannst du dich auch auf eine der Kameras mit ssh verbinden und dir dort die Rechte des gemounteten Verzeichnisses anzeigen lassen? Dort könntest du auch verifizieren, ob du wirklich nur schreiben aber nicht lesen darfst.