Zugriff verweigert trotz voller rechte...

[neocoretech]

Hallo liebe Synology-experten,

wir haben hier ein schlecht reproduzierbares problem,
mit den zugriffsberechtigungen auf einer ordnerfreigabe.

Bei manchen benutzern, und auch nicht immer tritt der fall auf,
dass sie trotz voller lese und schreibrechte im dsm
und 777 berechtigung auf dem dateisystem,
den zugriff auf einzelne unterordner in einer freigabe verweigert kriegen.

Abhilfe schafft hier, den kompletten ordner mit chown dem benutzer zuzuweisen,
der die zugriffsprobleme hat, dann kann es aber passieren,
dass ein anderer benutzer den zugriff verweigert bekommt.

Gibt es noch irgendwo eine andere stelle wo man ansetzen kann,
außer in der dsm oberfläche und den berechtigungen auf filesystem ebene?

...

Es handelt sich um eine Diskstation 1010+ mit aktuellem DSM 4.0-2198
Clients: MacOSX SnowLeopard
Freue mich über jeden hinweis.

Liebe Grüße

 

[h1bast]

In Blaue geraten :
Greifen die Clients vielleicht mit verschiedenen Protokollen drauf zu, also gemischt mit afp, smb oder auch nfs?

h1

 

[neocoretech]

eigentlich nicht...
alle verwenden ganz normal den finder um draufzuzugreifen.

Ich werd aber mal überprüfen, ob es eventuell die möglichkeit gibt,
dass der finder unterschiedliche protokolle verwendet,
ohne dass man davon was mitbekommt...

Oder weiß das hier zufällig jemand?

Danke schonmal für den hinweis.

 

[h1bast]

Vermutlich meinst du mit "normal mit dem Finder" den Zugriff aus dem Finderfenster unter Freigaben?!
Wenn auf dem Server bei Finderstart der Mac Dateidienst (also AFP) läuft, verbindet sich der Finder normalerweise auch per afpovertcp (aka "Zerokonf" oder "Bonjour" in Apple-Sprech). Läuft dann aber gerade nur der Windows Dateidienst (also SMB) verbindet er sich dann auch automatisch per SMB. Ich weiß nur nicht ob er die Verbindungsart speichert, wenn man das Kennwort in Schlüsselbund übernimmt und sich dann immer mit dem letzten Protokoll verbindet. In jedem Fall vorzuziehen ist die Verbindung per Apfel + K oder per Skript (mit Applescript ala 'try mount volume "afp://nas/public" end try')

h1

 

[neocoretech]

Genau diesen normalen zugriff meinte ich
Ich habe nun mal den smb dienst ausgeschaltet und werde abwarten, ob die probleme wieder auftreten werden.

Vielen dank schon mal für euern input...

 

[neocoretech]

nun ist das problem wieder aufgetreten.
Bei den systeminformationen sind auch ausschließlich afp verbindungen offen.

Wieder hat es geholfen, dass die betroffene datei
dem benutzer zugewiesen wurde,
welcher darauf zugreifen wollte,
dafür haben dann aber alle anderen keinen zufgriff mehr ...

 

[jahlives]

kannst du bitte mal eine solche Datei auf deine DS schieben und dann auf der Konsole die Dateisystemrechte prüfen?

ls -al /volume1/FREIGABE/FILE.EXT

via smb resp afp versucht die DS wahrscheinlich die Rechte im Dateisystem möglichst so zu halten wie sie auf dem Client sind. Das muss sich dann nicht zwangsläufig mit dem decken was du im DSM bei den Rechten der Freigabe gesetzt hast

 

[neocoretech]

die rechte sind bei allen betroffenen dateien 777.
Deswegen wundert es mich ja.

es gibt im jeden einen unterordner @eaDir mit den rechten 700.
Kann das was damit zu tun haben?

 

[jahlives]

@eaDir ist für die Thumbs der Photostation. Dort ist 0700 okay, denn die Clients der Photostation greifen nicht direkt auf diese Dateien zu, sondern der Webserver auf der DS holt diese Bilder und liefert sie den Clients. Das ist also immer ein lokaler Zugriff durch den Webserverprozess
Hast du denn die Rechte wirklich direkt auf der Konsole geprüft? Wenn dort wirkich 0777 steht, dann blockt die Anwendung (z.B. smb oder afp) den Zugriff. Dann solltest du mal im DSM gucken was du bei den Berechtigungen bei der fraglichen Freigabe eingestellt hast

 

[neocoretech]

Vielen dank schonmal für deine hilfe...
Geprüft hab ich direkt im dateisystem per ssh.

Wiegesagt scheinen die berechtigungen zu passen, nur ein besitzerwechsel der datei schafft abhilfe
ohne an den berechtigungen etwas zu ändern.

Welche berechtigungen meinst du denn bei den freigaben?
Hab dort eigentlich nichts spezielles konfiguriert.
Der betroffene benutzer hat auf die freigabe unter privilegieneinstellungen lese/schreib zugriff.
Bei den erweiterten berechtigungen sind alle häkchen deaktiviert.

 

[itari]

Da der Zugriff per afp (oder smb) erfolgt, greifst ja nicht direkt auf das Dateisystem der DS zu, sondern mit Hilfe eines Dateiservers (afpd oder smbd) und dieser läuft ja auch unter einem Benutzer (meist 'root') und damit jetzt Benutzerrechte richtig eingeschränkt werden (weil ja root alles darf), gibt es eine Konfigurationsdatei (/usr/syno/etc/smb.conf), die halt berücksichtigt werden will. Deswegen der Tipp, auch einmal im DSM nach den Berechtigungne zu schauen (das ist ja letztzlich die smb.conf)

Itari

 

[jahlives]

@itari
zumindest beim Samba erfolgt der effektive Zugriff auf die Daten doch unter deinem lokalen User und nicht via root. Beim afp weiss ich es mangels Erfahrung ned, kann mir aber auch ned vorstellen, dass da alles via root laufen würde
@topicstarter
es gibt die Rechte der Anwendung (wie itari schreibt in der smb.conf) und die Rechte des Dateisystems. Das letzte Wort beim Zugriff hat immer das Dateisystem d.h. die Anwendung kann erlauben was sie will, wenn es das Dateisystem verbietet, dann no way für Zugriff. In deinem Fall scheint es ja gemäss Dateisystem erlaubt zu sein (0777). Dann kann es nur noch die Anwendung sein, welche zickt. Was zudem gern vergessen wird: im Dateisystem kommen auch bestimmte Rechte des Elternverzeichnisses zum Tragen z.B. wenn du auf dem Elternverzeichnis keine x und r Rechte hast, dann wirst du den Inhalt des Verzeichnisses nicht auflisten können. auch wenn du volle Rechte auf die Dateien an sich hast.

 

[h1bast]

Evtl. benutzt du ein Programm, welches da ACLs an die Dateien klebt? Ich sitze jetzt nicht am Mac, aber evtl. kannst du die mit Terminal auf dem gemounteten Laufwerk mittels ls -el anzeigen.

http://docs.info.apple.com/article.html?path=Server/10.7/de/c_AccessControlList.html

h1