Zugriff auf home-Verzeichnis vermeiden

[iphonisto]

Hallo liebes Forum,

einige Dienste, wie z. B. die PhotoStation und ich glaube auch die MailStation setzen zwingend voraus, dass das persönliche Home-Verzeichnis angelegt werden muss. Seit DSM 4.0 muss das bei der Benutzerverwaltung unter dem Menü "Benutzerbasis" aktiviert werden. Bis hierhin ist das ja auch logisch.

Dennoch haben wir auf Kundenseite einige Benutzer, die mit diesen Diensten überhaupt nicht arbeiten sollen. Diese Benutzer sollen lediglich Zugriff auf die jeweils freigegebenen Ordner erhalten, um Daten downzuloaden. Ein "home"-Verzeichnis soll überhaupt nicht erstellt werden. Dennoch ist aber auch für diese Benutzer der Ordner "home" sichtbar. Es gelingt mir einfach nicht, diesen für einige Benutzer zu unterbinden.

Habt Ihr einen Tipp, wie ich das Anlegen des home-Verzeichnisses für einzelne Benutzer vermeiden kann, ohne die Benutzerbasis für alle Benutzer zu deaktivieren? Über die Rechteverwaltung ist es mir leider nicht gelungen.

Besten Dank im Voraus.

iphonisto

 

[jahlives]

es gäbe mehrere Wege das zu erreichen. Wobei man sagen muss, die User werden die Freigabe auch ohne Rechte sehen, sie können einfach nicht darauf zugreifen.
1. in /etc/passwd ein ungültiges Homeverzeichnis angeben
diese Datei legt grundlegende Dinge der User fest so auch das Homeverzeichnis. Steht dort ein nicht existentes Verzeichnis, dann hat der User kein Home

2. smb.conf anpassen
smb selber kennt pro Freigabe auch eine Liste der User, die keinesfalls zugreifen dürfen. Diese Option heisst invalid users und kann pro Freigabe in der smb.conf gesetzt werden. Dort könnte man bei der Homefreigabe die unerwünschten User als invalid users eintragen

3. den zugriff mittels Rechten unterbinden
eine weitere Option wäre es die Rechte des jeweiligen Homeverzeichnisses so zu drehen, dass der User ned zugreifen darf. Dazu als root auf der Konsole anmelden und

chown -R root:root /volume1/homes/USER_OHNE_HOMEZUGRIFF && chmod -R go-rwx /volume1/homes/USER_OHNE_HOMEZUGRIFF

afaik gibt es leider keine Option um direkt im DSM beim Erstellen eines Benutzers zu sagen, dass genau der kein Home haben darf.

 

[iphonisto]

Hallo jahlives,

erst einmal herzlichen Dank für Deine Antwort.

Da ich halbwegs neu in der Diskstation bin, bitte ich für dumme Fragen um Nachsicht.

Wo finde ich denn /etc/passwd oder die smb.conf?

Was heißt als root auf der console anmelden? Wo ist denn die console? Bin gerade etwas überfordert.

In der Systemsteuerung kann ich nichts dergleichen finden.

iphonisto

 

[jahlives]

Die Konsole nennt sich auch Kommandozeile. Wie du diese erreichen kannst auf der DS haben wir im Wiki (http://www.synology-wiki.de/index.php/Die_Kommandozeile).
Allerdings würde ich dir wohl den Weg via smb.conf empfehlen. Denn bei einem Fehler in /etc/passwd geht nicht mehr viel auf deiner DS. Wo smb.conf liegt steht wiederum im Wiki (http://www.synology-wiki.de/index.php/Nicht_unterst%C3%BCtzte_Konfigurations%C3%A4nderungen#.C3.84nderung_der_Samba-Konfiguration)
Und root ist sozusagen der Gott-User auf der DS. Der darf in einem Linux System einfach alles. Vergleichbar zum admin bein Windows. Das einzige was root nicht kann ist es sich am DSM anzumelden. Dort verwendest du admin als User und auf der Kommandozeile hingegen root

 

[iphonisto]

Hallo jahlives

danke für die Hinweise. Ich habe erkannt, dass das nur etwas für Linux-Spezialisten ist, wovon ich persönlich überhaupt keine Ahnung habe. Alles was zu dem Thema in der synolgy-wiki steht sind für mich böhmische Dörfer. Habe mir soeben putty runtergeladen und quäle mich mit für mich kryptischen Eingaben, wovon ich gar nicht weiß, was ich da eigentlich tue.

Ich werde mir wohl einen Spezialisten suchen müssen. Meine DS 712+ ist ein so tolles Gerät. Vielleicht ist die Adminstration bei der DSM 5.0 ein wenig benutzerfreundlicher.

Trotzdem vielen Dank und besten Gruß

iphonisto

 

[Kidaru]

Also ganz so schlimm isses dann doch nicht, der DSM ist meiner Meinung nach schon sehr Benutzerfreundlich, daher hier ein Vorschlag für den Standard Windows gewöhnten Benutzer.


Schritt 1, den Homeordner in der Netzwerkumgebung verstecken

1. Anmelden auf der DS über den Browser (Firefox, IE, etc...) mit Benutzername "admin" und deinem Passwort
2. Auf das Icon klicken wo "Systemsteuerung" dran steht.
3. in dem nun offenen Fenster im oberen Bereich auf "Gemeinsamer Ordner" klicken
4. jetzt den Ordner "homes" einmal anklicken damit er markiert ist und anschließend oben auf "Bearbeiten" klicken
5. nun den Haken setzen bei "Verbergen Sie diesen gemeinsamen Ordner unter Netzwerkumgebung".
6. Ok anklicken und das Fenster Systemsteuerung schließen


Schritt 2, den Zugriff auf den Homeordner für bestimmte Benutzer verweigern

1. Wenn man noch auf der DS angemeldet ist dann 2. , ansonsten nochmal als "admin" auf der DS anmelden.
2. Auf das Icon klicken wo "File Station" dran steht.
3. in dem nun offenen Fenster den Ordner "homes" suchen und einmal draufklicken. Rechts im Fenster erscheinen nun die home Ordner der Benutzer.
4. in diesem rechten Fenster den gewünschten Benutzer rauspicken und seinen Ordner (Benutzername = Ordnername) einmal anklicken damit er markiert ist.
5. nun oben "Aktion" auswählen und auf "Eigenschaften" klicken, oder alternativ wie unter Windows rechts-klick auf den Ordner und Eigenschaften wählen.
6. jetzt den Reiter "Genehmigung" auswählen und die Häkchen (alle) bei Lesen, Schreiben und Ausführen entfernen.
7. anschließend den Haken bei "Auf diesen Ordner, die Unterordner und Dateien anwenden" setzen
8. Ok anklicken und das Fenster File Station schließen.


... das sollte es eigentlich gewesen sein.


Hinweis: Es ist möglich unter den Eigenschaften auch diesen Ordner einfach zu löschen, ABER KEINESFALLS EMPFOHLEN, also lieber Finger weg, besser ist "verstecken" und "verweigern", das kann man wieder rückgängig machen.

 

[iphonisto]

Hallo Kidaru,

erste einmal danke für Deinen wirklich guten Bericht. Ja, wir Windows-User brauchen es manchmal ein bisschen ausführlicher, bis wir etwas begreifen.

Dein Lösungsvorschlag hat tatsächlich zum Erfolg geführt, d. h. beim Zugriff auf den home-Ordner kommt jetzt die "richtige" Fehlermeldung, dass der Anwender keine Benutzerrechte dazu hat.

Soweit so gut.

Den Hinweis "Verbergen unter Netzwerkumgebung" verstehe ich so, dass der Ordner "home" auch gar nicht für den Anwender sichtbar ist. Obwohl ich das entprechende Häkchen unter Schritt 1 Deiner Anleitung gesetzt habe, ist der "home"-Ordner nach wie vor sichtbar, auch wenn kein Zugriff mehr darauf erfolgen kann. Hast Du noch einen Tipp wie man den "home"-Ordner in der Filestation unsichtbar werden lässt?

Herzlichen Dank bis dahin. Du hast mir schon einen großen Schritt weitergeholfen.

Gruß iphonisto

 

[Kidaru]

Den Hinweis "Verbergen unter Netzwerkumgebung" verstehe ich so, dass der Ordner "home" auch gar nicht für den Anwender sichtbar ist. Obwohl ich das entprechende Häkchen unter Schritt 1 Deiner Anleitung gesetzt habe, ist der "home"-Ordner nach wie vor sichtbar, auch wenn kein Zugriff mehr darauf erfolgen kann. Hast Du noch einen Tipp wie man den "home"-Ordner in der Filestation unsichtbar werden lässt?

In der File Station selbst, wenn man auf der DSM Oberfläche eingeloggt ist, kann der Ordner nicht "unsichtbar" gemacht werden. Dem Admin würde dadurch die Möglichkeit genommen die Einstellungen rückgängig zu machen.

Die Aktion mit der Netzwerkumgebung ist dazu gedacht diesen Ordner in einem Windowsnetzwerk zu verbergen, da es auch möglich ist diese Ordner als Netzlaufwerke in das Windowsdateisystem einzubinden was wohl nicht gewollt ist, wenn ich deine Frage richtig interpretiert habe. Es ist für diesen Fall nur das Verstecken von Ressourcen auf die man eh keinen Zugriff haben soll, etwas Feinschliff sozusagen.

 

[ch-nas]

Hallo Kidaru

Hatte das gleiche Problem, Lösung 2 hat bei mir genau so geklappt wie ich es erwartet hatte, der Ordner ist nicht mehr sichtbar.

Besten Dank und Gruss

Andreas

 

[iphonisto]

Hallo ch-nas

Leider ist bei mir der Ordner home noch immer sichtbar. Das Löschen der Häkchen alleine hat nicht zum Ziel geführt. Hast Du den Ordner home einfach gelöscht?

Besten Gruß

iphonisto

 

[ch-nas]

Hallo Iphonisto

Hm, hast du die Verbindung getrennt und hast danach neu verbunden?

Hab wie es beschrieben wurde die Variante 2 gewählt (bei mir war das Problem, dass ich für einen Medienplayer einen neuen Account erstellt habe und halt standardmässig ein Home angelegt wurde.

Ich hab Variante 1 nicht angewendet.

Als ich den Ordner versteckt habe, habe ich zuerst das home Verzeichnis noch gesehen.

Danach den Medienplayer abgeschaltet, neu gestartet und weg war das home Verzeichnis bei den Netzwerkfreigaben.

Ich versuche daher zu schlussfolgern, dass wenn du den Client runterfährst oder Verbindung trennst solltest du genau das gleiche Resultat bekommen.

Viel Glück

Andreas