Hallo!
Ich hoffe hier Hilfe für (das leidige) Thema Benutzerrechte zu finden. Ich habe unzählige Forumsbeiträge und andere Quellen gelesen - ich muß einfach passen, als Nicht-ITler ist mir das zu komplex und ich finde nur sehr widersprüchliches.
Was ich will:
Einen Fileserver/NAS in meinem privaten Netzwerk ohne Anbindung an das Internet, ich bin der alleinige Nutzer. Benutzerrechte, die mir immer gewährleisten, z.B. ein Backup unkompliziert zurückzuspielen und jederzeit immer Zugriff auf die Dateien zu haben, ohne mich plötzlich Rechtekonflikten gegenüberzusehen. Zugriff auf die Freigaben erfolgt via SMB durch einen Windowsrechner und einem MacOS-Rechner.
Andererseits benötige ich Replication für die Backups (inhouse) und da wird es schon wieder komplexer: das erfordert ssh-Schlüssel etc. (richtig?), die wiederum in einem Userverzeichnis mit speziellen Rechten liegen müssen.
Welche Benutzerrechtestrategie ist nun für für meinen Anwendungsfall die beste?
Bisher habe ich folgende Konfigurationen ausprobiert:
TrueNAS Core 13.0 U5.2, ein Vdev Testpool aus 2 x 3TB HDDs (Mirror) mit zwei Datasets Daten_1 und Daten_2.
Daten_1 habe ich strikt nach der TN-Dokumentation konfiguriert:
Storage/Pools/Daten_1/Edit Permissions: ACL Preset: OPEN
SMB-Freigabe mit Standardeinstellungen
Meine Freigabe funktioniert, jedoch scheinen mir die Berechtigungen unverständlich:
die Ausgabe in der Shell verwirrt mich durch das doppelte Auftreten von everyone@:
Was habe ich da falsch gemacht?
Ein zweiter Versuch mit dem zweiten Dataset Daten_2:
Storage/Pools/Daten_1/Edit Permissions: ACL Preset: Restricted, Benutzer und Gruppe geändert.
SMB-Freigabe mit Standardeinstellungen
Jetzt sieht die Ausgabe getfacl anders aus:
Aber wie ist es nun richtig? Welche Ebenen sollten welche Zugriffsrechte bekommen? Wer sollte Besitzer sein und welche Gruppe?
hok
Ich hoffe hier Hilfe für (das leidige) Thema Benutzerrechte zu finden. Ich habe unzählige Forumsbeiträge und andere Quellen gelesen - ich muß einfach passen, als Nicht-ITler ist mir das zu komplex und ich finde nur sehr widersprüchliches.
Was ich will:
Einen Fileserver/NAS in meinem privaten Netzwerk ohne Anbindung an das Internet, ich bin der alleinige Nutzer. Benutzerrechte, die mir immer gewährleisten, z.B. ein Backup unkompliziert zurückzuspielen und jederzeit immer Zugriff auf die Dateien zu haben, ohne mich plötzlich Rechtekonflikten gegenüberzusehen. Zugriff auf die Freigaben erfolgt via SMB durch einen Windowsrechner und einem MacOS-Rechner.
Andererseits benötige ich Replication für die Backups (inhouse) und da wird es schon wieder komplexer: das erfordert ssh-Schlüssel etc. (richtig?), die wiederum in einem Userverzeichnis mit speziellen Rechten liegen müssen.
Welche Benutzerrechtestrategie ist nun für für meinen Anwendungsfall die beste?
Bisher habe ich folgende Konfigurationen ausprobiert:
TrueNAS Core 13.0 U5.2, ein Vdev Testpool aus 2 x 3TB HDDs (Mirror) mit zwei Datasets Daten_1 und Daten_2.
Daten_1 habe ich strikt nach der TN-Dokumentation konfiguriert:
Storage/Pools/Daten_1/Edit Permissions: ACL Preset: OPEN
SMB-Freigabe mit Standardeinstellungen
Meine Freigabe funktioniert, jedoch scheinen mir die Berechtigungen unverständlich:
die Ausgabe in der Shell verwirrt mich durch das doppelte Auftreten von everyone@:
root@server23[/mnt/testpool/Daten_1]# getfacl testdatei_MB.txt
file: testdatei_MB.txt
owner: hok
group: wheel
owner@:rwxpDdaARWcCos:------I:allow
group@:rwxpDdaARWcCos:------I:allow
everyone@:rwxpDdaARWc--s:------I:allow
everyone@:--------------:------I:allow
Was habe ich da falsch gemacht?
Ein zweiter Versuch mit dem zweiten Dataset Daten_2:
Storage/Pools/Daten_1/Edit Permissions: ACL Preset: Restricted, Benutzer und Gruppe geändert.
SMB-Freigabe mit Standardeinstellungen
Jetzt sieht die Ausgabe getfacl anders aus:
root@server23[/mnt/testpool/Daten_2]# getfacl testdatei_pc.txt
file: testdatei_pc.txt
owner: hok
group: hok
owner@:rwxpDdaARWcCos:------I:allow
group@:rwxpDdaARWc--s:------I:allow
everyone@:--------------:------I:allow
Aber wie ist es nun richtig? Welche Ebenen sollten welche Zugriffsrechte bekommen? Wer sollte Besitzer sein und welche Gruppe?
hok