Webdav Ordner Rechte beschränken

[JuliusCaesar]

Hallo,
ich habe mich heute mal mit baikal und owncloud bzgl.. caldav/carddav beschäftigt.

Diese Programme sind zwar ganz nett, allerdings ist (bei beiden) das k.o Kriterium, dass ich eine getrennte Userverwaltung habe (sprich ich muss sämtliche User nochmal in owncloud/baikal anlegen. -->ist mir zuviel Arbeit

Danach habe ich caldav vom webdav server aktiviert. Darduch dass caldav aber den webdav server benötigt sind alle meine Ordner frei im Internet verfügbar.

Dies wollte ich bisher unter allen Umständen vermeiden, es ist immo nur möglich über VPN an den DSM zu kommen (Ausgenommen sind die CloudStation und die PhotoStation).

Gibt es eine Möglichkeit dem webdav server die Leserechte/Schreibrechte für die home Verzeichnisse zu entziehen?

viele Grüße
Julian

 

[Orodreth]

Moin,

ich denke, dass du den Anonymous unter den erweiterten Einstellungen bei WebDAV noch aktiv hast?
Ansonsten setzt man unter der File Station die Berechtigungen. Geht aber nicht unter Home...?
Habe meine Ordner schon immer weiter oben eingehängt, so dass es mir nicht aufgefallen ist ;-)

 

[joku]

Danach habe ich caldav vom webdav server aktiviert. Darduch dass caldav aber den webdav server benötigt sind alle meine Ordner frei im Internet verfügbar.

Hallo, wie das ?
WebDAV und CalDAV benutzen die Ports 5005/5006 (HTTP/S).
Wenn die Ports im Router nicht weitergeleitet werden,
ist aus dem Internet kein Zugriff möglich.

Gruß Jo

 

[stefan_lx]

Über webdav werden die gleichen Berechtigungen wie z.B. über die Filestation genutzt. Wenn man also auf einen Ordner Zugriff über die Filestation hat, hat man auch über webdav Zugriff. Somit kannst du den Zugriff dann auch nicht auf das home des Benutzers verhindern... und an den Berechtigungen für homes und den darin enthaltenen Ordner sollte man an den vom System vorgegebenen Berechtigungen besser nichts ändern...
Wenn alle deine Ordner frei also ohne weitere Passworteingabe verfügbar sind, solltest du mal die Freigabeberechtigungen auf den Gemeinsamen Ordnern überprüfen... den Anonymous Zugriff muss man erst einschalten und dann braucht man noch einen Benutzer dafür ...

Stefan

 

[JuliusCaesar]

ich denke, dass du den Anonymous unter den erweiterten Einstellungen bei WebDAV noch aktiv hast?

ne, den Anonymous habe ich deaktiviert

Ansonsten setzt man unter der File Station die Berechtigungen. Geht aber nicht unter Home...?

Wie genau meinst du das? Kann man für jeden Benutzer unterschiedliche Berechtigungen für die einzellnen Verzeichnisse bei Filestation und WebDav vergeben

Hallo, wie das ?
WebDAV und CalDAV benutzen die Ports 5005/5006 (HTTP/S).

War schlecht ausgedrückt. Man kan ja erst nen Haken bei Webdav aktivieren setzen und dann nochmal bei CalDav aktivieren setzen. Letzteres geht aber nur bei aktiviertem Webdav. Ich brauche aber eine Portweiterleitung, weil ich nicht jedesmal, wenn ich mitem Handy meinen Kalender synchronisieren will, mich per VPN einloggen will.
Daher hatte ich gehoft, dass man das eine (CalDav) über Inet freischalten kann aber Webdav nicht. Aber wie du schon bemerkt hast, laufen die ja leider über den gleichen Port

Über webdav werden die gleichen Berechtigungen wie z.B. über die Filestation genutzt. Wenn man also auf einen Ordner Zugriff über die Filestation hat, hat man auch über webdav Zugriff. Somit kannst du den Zugriff dann auch nicht auf das home des Benutzers verhindern... und an den Berechtigungen für homes und den darin enthaltenen Ordner sollte man an den vom System vorgegebenen Berechtigungen besser nichts ändern...
Wenn alle deine Ordner frei also ohne weitere Passworteingabe verfügbar sind, solltest du mal die Freigabeberechtigungen auf den Gemeinsamen Ordnern überprüfen... den Anonymous Zugriff muss man erst einschalten und dann braucht man noch einen Benutzer dafür ...

ah ok, das macht meine oben gestellte Frage sinnlos. Man kann also leider nicht getrennte Berechtigungen für Filestation und Webdav vergeben :O
Ne, ich muss schon nen PW eingeben bei den Ordnern. Habe ich vllt nicht ganz klar ausgedrückt. Auch hat natürlich jeder User nur Zugriff auf sein eigenes home Verzeichnis.


Wie handhabt ihr denn diese Problematik? Verwendet einer von euch Caldav? Ist euch das nicht zu unsicher, die komplette Ordner Struktur übers Internet freizugeben?

 

[joku]

Verwendet einer von euch Caldav? Ist euch das nicht zu unsicher, die komplette Ordner Struktur übers Internet freizugeben?

Hallo, wieso die komplette Ordner Struktur ?
Ich habe auf dem volumen1 ein Verzeichniss Caldav lesen/schreiben für die Kalanderbenutzer.
Da kommt kein anderer rein, egal von wo.
Port 5006 (https) und Automatische Blockierung und gutes Passwort.

Gruß Jo

 

[Orodreth]

jep. Im "File Station" auf den Freigegeben Ordner mit der rechten Maustaste -> Eigenschaften -> Registerkarte Berechtigungen

Dann kann man die Berechtigung setzen für
- interner Benutzer
- lokaler Benutzer
- lokale Gruppen

Gruß Orodreth

 

[JuliusCaesar]

Hallo, wieso die komplette Ordner Struktur ?
Ich habe auf dem volumen1 ein Verzeichniss Caldav lesen/schreiben für die Kalanderbenutzer.

achso du hast extra einen reinen Kalendernutzer angelegt für Kalender? Dieser darf "nur" den Kalender Ordner verwenden?

Nur irgendwie bekomme ich keine Verbindung zum Server...
Verwende Davdroid als app.
Server: meine DS IP (Test im eigenen Netzwerk)
-->unable to resolve host name

Habe webdav https aktiviert. Was mache ich falsch?

 

[joku]

achso du hast extra einen reinen Kalendernutzer angelegt für Kalender? Dieser darf "nur" den Kalender Ordner verwenden?

Nein, nur ein Verzeichnis im voumen1, wo die alenderbenutzer schreiben und lesen dürfen.

Nur irgendwie bekomme ich keine Verbindung zum Server...
Verwende Davdroid als app.

Wie benutzt Du das ?
Welchen Eintrag für den Server ?

Server: meine DS IP (Test im eigenen Netzwerk)
-->unable to resolve host name

Welchen Hostnamen verwendest Du ?
Kann Dein Router LoopBack ?

Habe webdav https aktiviert. Was mache ich falsch?

Wie lautet die URL zu dem Kalender ?

Gruß Jo

 

[JuliusCaesar]

Wie benutzt Du das ?
Welchen Eintrag für den Server ?

Welchen Hostnamen verwendest Du ?
Kann Dein Router LoopBack ?

Hey,
als Serveradresse verwende ich die lokale IP der DS also https://192.168.xxx.xxx

Was meinst du mit Hostnamen? Ist der Hostname nicht der Servername (in meinem Fall die IP des Servers, oder wenn man von ausserhalb drauf zugriefen will die dynDNS Adresse)

Wozu benötige ich loopback? Bisher komme ich eigentlich gut mit Portfreigabe/-weiterleitung aus. Cloud, Audio Station .etc läuft wunderbar.

Ich habe eigentlich einen recht modernen router. fritz.box 7362SL. Den habe ich im Zusammenhang meines VDSL Vertrages bekommen, der müsste loopback doch können oder?

Pfad zum Kalender:
/Kalender/

also müsste die URL http://192.168..../Kalender/ sein oder?

 

[joku]

als Serveradresse verwende ich die lokale IP der DS also https://192.168.xxx.xxx

Ok, das passt

Was meinst du mit Hostnamen? Ist der Hostname nicht der Servername (in meinem Fall die IP des Servers, oder wenn man von ausserhalb drauf zugriefen will die dynDNS Adresse)

Wenn die Diskstation noch Diskstation heisst, intern diesen
Extern den DDNS

Wozu benötige ich loopback? Bisher komme ich eigentlich gut mit Portfreigabe/-weiterleitung aus. Cloud, Audio Station .etc läuft wunderbar.

LoopBack ist , wer intern, den DDNS verwendet

Ich habe eigentlich einen recht modernen router. fritz.box 7362SL. Den habe ich im Zusammenhang meines VDSL Vertrages bekommen, der müsste loopback doch können oder?

das sollte sie

Pfad zum Kalender:
/Kalender/

also müsste die URL http://192.168..../Kalender/ sein oder?

Ja, Protokoll und den Benutzer, wie es der Client benötigt
zB.:
http://diskstation.fritz.box/Kalender/Jo.ics
...
webcal://diskstation.fritz.box/Kalender/Jo

Gruß Jo

 

[JuliusCaesar]

Hey,
leider funktioniert es immer noch nicht korrekt. Bekomme keine Verbindung zum Server.
Habe auch die Möglichkeit über DDNS probiert (Portweiterleitung 5006) aber kein Erfolg.

Der Pfad zum Kalender lautet:

/Kalender/mein_kal/

also habe ich als Server Adresse eingegeben:

https://meine-cloud.de/Kalender/mein_kal/

aber das funktioniert leider nicht, was mache ich falsch?

viele Grüße

 

[joku]

Der Pfad zum Kalender lautet:

/Kalender/mein_kal/

Das bedeutet, in der Filestation ist der Ordner Kalender in der Wurzel zu sehen ?
/home
/homes
/Kalender
/music
/photo

Die Berechtigungen in der Systemsteuerung sind für die Benutzer lese/schreiben ?

also habe ich als Server Adresse eingegeben:

https://meine-cloud.de/Kalender/mein_kal/

Wenn das oben richtig ist, sollte das funktioniere
Mit welchen Client versuchst Du das ?

Gruß Jo

 

[JuliusCaesar]

ok also es scheint zu gehen. Lag wohl offenbar an dem Outlook Plugin DavSync. Mit meinem Androiden gehts offenbar.

Vielen Dank für die Hilfe

aber nochmal kurz zurück zum Thema Sicherheit:
Ich habe jetzt Kalender nutzer angelegt , die nur den kalender Ordner sehen dürfen. Das hast du nicht gemacht oder? Du nimmst die ganz normalen Nutzer und gibts denen Zusätzlich Zugriffsrechte auf den Kalender Ordner oder?

 

[joku]

aber nochmal kurz zurück zum Thema Sicherheit:
Ich habe jetzt Kalender nutzer angelegt , die nur den kalender Ordner sehen dürfen. Das hast du nicht gemacht oder?

Ah ha.
Das habe ich nicht gemacht, bei mir dürfen nur die Benutzer,
welche die Rechte zum lesen und schreiben haben, diesen Ordner benutzen

Du nimmst die ganz normalen Nutzer und gibts denen Zusätzlich Zugriffsrechte auf den Kalender Ordner oder?

Ja, genau so.
Du kannst auch noch eine Gruppe erstellen zB Kalender
und nur die Gruppe für das Verzeichniss aktivieren.
Dann sollten aber die Kalender Benutzer Mitglied diese Gruppe sein

Gruß Jo