Offtopic: Netzwerkdateisysteme und Datei ACL's

  • Hier mal eine Frage die nichts mit dem vdr zu tun hat, sondern zu Ntezwerkdateisystemen:


    Ich habe einen Server auf dem ich einen Ordner ins Netz exportieren will. In meinem Fall ist das konkret ein Ubuntu-Webserver mit Apache den ich zur PHP-Softwareentwicklung clustere. Die anderen 5 Instanzen in VMs laufen dann jeweils mit bei Webhostern gängen Setups wie anderern PHP-Versionen usw. Auf einem Webserver allein bin ich nicht so nah an das gekommen wie ich wollte. Jetzt hab ich auf der Mutter der Kinder ein ext4-Dateisystemen mit acl Option gemountet und mit setfacl Rechte darauf vergeben. Unteranderem bekommt www-data als webserver User relativ weitreichende Rechte. Ich möchte nun aus ein paar Gründen das die Clients die den Pfad einhängen die gleichen ACLs übernehmen. Die UID's und GID's halte ich über Active Directory synchron, es sind also jeder Kiste alle User im Umlauf bekannt und die paar wenigen lokalen Systemuser passen auch. Nun probiere ich das per nfs hin und herzumounten. Der Erfolg ist der das mir getfacl auf den Clients genau die ACL's wiedergibt die ich erwarte, die Ausgabe ist analog zu der auf der Ursprungskiste. Aber was auf der Quellkiste reicht, reicht auf den "Clients" nicht. Wenn ich auf einem der Clients mit su - www-data zum www-data user werde und versuche eine Datei auszugeben/zu lesen krieg ich ein permission denied. Und jetzt bin ich nach einem Tag fruchtlosen bastelns ratlos wie ich das hinkriegen kann.


    Also : Netzwerkdateisysteme mit posix ACLs übers Netz hieven, wie machen andere von euch das ? Jemand Erfahrungen ?


    Grüz!
    Hibbelharry

    - HTPC mit zerbasteltem Yavdr 0.6 , Origen ae X15e, MCE Remote, Asus P5N7A-VM, 1x Digibit R1, Kodi und vdr an Pana 46PZ85E
    - Diverse HTPCs im Umfeld bei Familie und Freundenm die sich vor mir fürchten, mit allen möglichen gruseligen Konfigurationen.
    Auch gern Debian, aber wehe jemand kommt mir mit Suse.

  • Die UID's und GID's halte ich über Active Directory synchron, es sind also jeder Kiste alle User im Umlauf bekannt und die paar wenigen lokalen Systemuser passen auch.


    Sicher? Du hast viel geschrieben, dennoch verstehe ich nicht explizit, was Du genau willst. Bitte die Fragestellung präzisieren.


    Linux Server (bei mir sind es Debian, RHEL, SLES und CentOS) gegen Linux Client läuft mit Linux Rechteverwaltung, ACL ist eine nette Ergänzung. Dir ist schon bekannt, dass für NFS erst ab V4 eine Benutzerauthentifikation möglich ist!?


    Linux Server gegen Windows Client bedarf etwas mehr. Ich löse das im Zusammenhang mit der AD im Verbund: Samba, Kerberos, Winbind und ACL. Ist nicht ganz trivial, funktioniert aber tadellos.


    Albert

  • @ Hibbelharry


    Kommst Du weiter oder aufgegeben?


    Albert

  • Nee, bin nicht weiter. Das Projekt musste gerade ruhen, ich hatte Leute auf der Kiste die ich mit ein paar Notbehelfen ihren Job tun lassen konnte. Ich wollte nochmal Infos sammeln und pack die die Tage hier rein.


    Grüz!
    Hibbelharry

    - HTPC mit zerbasteltem Yavdr 0.6 , Origen ae X15e, MCE Remote, Asus P5N7A-VM, 1x Digibit R1, Kodi und vdr an Pana 46PZ85E
    - Diverse HTPCs im Umfeld bei Familie und Freundenm die sich vor mir fürchten, mit allen möglichen gruseligen Konfigurationen.
    Auch gern Debian, aber wehe jemand kommt mir mit Suse.

  • Hi,
    möchte den Thread hier nicht hijacken, mich interessiert das Thema ebenso.


    Linux Server gegen Windows Client bedarf etwas mehr. Ich löse das im Zusammenhang mit der AD im Verbund: Samba, Kerberos, Winbind und ACL. Ist nicht ganz trivial, funktioniert aber tadellos.


    Wäre cool wenn du das etwas präzisieren könntest mit welchen Softwarekomponenten (Welche Server- und welche Clientkomponenten) du das genau gemacht hast. Ich nehme an, du hast ein AD(M$) und hast deine Linux Maschinen mit den Client Komponenten von Samba und Kerberos daran angebunden?
    Ansonsten wärs ein wenig sinnfrei bzw. doppelt.


    Gruß,
    Kokel

  • Ich nehme an, du hast ein AD(M$) und hast deine Linux Maschinen mit den Client Komponenten von Samba und Kerberos daran angebunden?


    So in etwa. Wir reden hier über Server, die Clients sind fast ausschließlich W. Es ist für den User in ADDS transparent, was es für eine Freigabe ist. Er weißt nicht, dass es von W oder von Linux kommt. Die Doku. habe ich auf Arbeit, aber das hier kommt die Sache sehr nahe. Sonst Linuxforen!


    Good luck.


    Albert

  • So in etwa. Wir reden hier über Server, die Clients sind fast ausschließlich W. Es ist für den User in ADDS transparent, was es für eine Freigabe ist. Er weißt nicht, dass es von W oder von Linux kommt. Die Doku. habe ich auf Arbeit, aber das hier kommt die Sache sehr nahe. Sonst Linuxforen!


    Ahh, ok. Also wenn ich das richtig verstanden habe, habt ihr "lediglich" ein M$ Active Directory und die Linux Maschinen habt ihr mit den Client Komponenten von Samba und Kerberos angebunden. Worauf ich hinaus wollte: Es gibt auch die Möglichkeit ein "AD" bzw. Verzeichnisdienst rein mit Open Source aufzubauen. Z.B. mit dem rundumsorglos Paket Samba4 oder aber from scratch mit nem OpenLDAP Server und einem Kerberos Server, ggfs. noch ein Samba Server.


    Gruß, Kokel

  • Also wenn ich das richtig verstanden habe, habt ihr "lediglich" ein M$ Active Directory und die Linux Maschinen habt ihr mit den Client Komponenten von Samba und Kerberos angebunden.


    Korrekt.


    Es gibt auch die Möglichkeit ein "AD" bzw. Verzeichnisdienst rein mit Open Source aufzubauen.


    Irgendwie schon. Dass es eine 100% ADDS Nachbildung möglich ist, das schließe ich aus. Wir sind momentan bei MS W Server 2012 R2 (Blue) angekommen, das ADDS wurde wieder weiterentwickelt. Mit einer „Nachbildung“ wird sich z.B. Exchange nicht zufrieden geben.


    Albert