QNAP TS431 unterschiedliche Eigentümer/Gruppen

Die Zuordnung der Dateieigentümer und -zugriffsrechte erfolgt bei nfs über die User-Id und Gruppen-Id (ab nfs 4.0 geht auch eine Zuordnung über User- und Gruppennamen, aber nicht für alle Geräte gibt es nfs4.0-Clientsoftware). Wenn die Ids nicht zueinander passen, gibt es ein Kuddelmuddel wie bei dir.

Welche Ids für Benutzer und Gruppen tatsächlich verwendet werden, kann auf jedem System den Dateien /etc/passwd und /etc/group entnommen werden.

Bei der Verwendung von nfs sollte man dafür sorgen, dass alle Rechner im Netzwerk (zumindest die, die nfs verwenden) für dieselben Benutzer auch dieselben Ids verwenden. root (admin bei qts) hat immer die Id 0, bis id 999 sind Systembenutzer und sollten nicht verwendet werden, ab Id 1000 ist frei für normale Benutzer. (Früher hat Mac OS/X normale Benutzer ab 500 vergeben, was sich bei mir bis heute vererbt hat und gelegentlich Ärger macht.)

Die User- und Gruppen-Id können mit usermod -u und groupmod -g geändert werden. Dabei werden allerdings nicht die Eigentümer der Dateien geändert, d. h. diese sind der alten Id zugeordnet, und der Benutzer kann auf seine eigenen Dateien möglicherweise nicht mehr zugreifen. chown -R auf das Homeverzeichnis des Benutzers behebt dieses Problem.

Bei dem Vorgang ist eine gewisse Vorsicht angebracht. Wenn bei einem Benutzer die User-Id geändert wurde, nicht aber die Id im Homeverzeichnis, kann dieser sich nicht mehr einloggen, da er kein Zugriffsrecht auf sein eigenes Home hat. Daher sollte es unbedingt zu jedem Zeitpunkt einen Benutzer mit sudo-Recht geben, der sich garantiert einloggen kann. Außerdem dürfen zwei Benutzer oder zwei Gruppen nie dieselbe Id haben.

Zu Besonderheiten von Gentoo und IOS3 kann ich nichts sagen, die Systeme kenne ich nicht.

Zitat von Anthracite

Früher hat Mac OS/X normale Benutzer ab 500 vergeben

ist nicht mehr so?

Für die gemeinsame Nutzung wäre eine Gruppe für alle noch wichtig.

Zitat von Anthracite

kann auf jedem System den Dateien /etc/passwd und /etc/group entnommen werden

Am Mac probiert und noch mit sudo ergänzt, aber bekomme keinen Zugriff.

Bei mir ist unter Monterry 12.7.6 der User-Admin mit 501 im Verzeichnisdienst abzulesen. Der root ist deaktiviert.

Zitat von NaStrada

ist nicht mehr so?

Keine Ahnung. Ich habe auf den neuen Macs die Einstellungen mit dem Migrationsassistenten übernommen, und dann bleiben die Ids gleich.

Zu /etc/passwd

Das geht auf dem Mac mittlerweile wohl nicht mehr. Für Linux und Qnap geht das noch. Beim Mac kann man mit dscl an die entsprechenden Informationen kommen.

Aber es geht noch einfacher.

id <Benutzername>

zeigt für jeden Benutzer alle gewünschten Ids und Gruppen an. Geht bei Linux auch.

Auf dem Mac gibt es auch kein usermod/groupmod. Das geht dort ebenfalls über dscl.

Oder du nimmst die Systemeinstellungen, Benutzer und Gruppen, erweiterte Optionen (Rechtsklick auf den Benutzer), dort kannst du die User-Id anzeigen und ändern.

Fraglich ist, ob es eine gute Idee ist.

Es gibt ja noch die mehrstellige UID aus Zahlen-Buchstaben.

Kann man die z.b. die 502 des Users am Mac problemlos an die 4-stellige am QNAP Nas anpassen?

Besser wäre ein LDAP-Server, sofern es überhaupt mit QNAP funktioniert. Hat wohl noch niemand eine vollständige Anleitung erstellt.

Zitat von uhai

Aus man dscl konnte ich nicht sehen, wie ich die ids damit anpassen kann.

Da steht aber alles drin.

Die Datenbank ist aufgebaut wie der Verzeichnisbaum im Dateisystem. Mit dscl ohne Parameter bist du im interaktiven Modus und befindest dich im Root-Ordner. Mit cd wechselt du den Ordner, mit ls zeigst du den Ordnerinhalt an, mit read schaust du dir eine "Datei" an, mit change änderst du einen Wert in der "Datei". Du musst ein bisschen suchen, bis du die gewünschten Werte hast, aber der ganze Baum ist ziemlich logisch aufgebaut.

Also bei dir

$ dscl

> cd Contact/Users
> ls
> read uhai
> change uhai UniqueID 502 1002

Pass auf, dass du dabei keine bereits vergebene Id nimmst.

(Den change-Befehl habe ich gerade nicht ausprobiert. Daher auf eigene Gewähr.)

In den Systemeinstellungen lässt sich die Id noch intuitiver ändern.

Egal ob dscl oder Systemeinstellungen, du solltest nie die Id des Benutzers ändern, mit dem du gerade angemeldet bist. Das kann zu seltsamen Effekten führen und birgt das Risiko, sich komplett aus dem System auszusperren. Ändere daher die Id deines Standardnutzers wenn du mit einem anderen Nutzer (mit sudo- bzw. Admin-Recht) angemeldet bist, auch wenn du diesen anderen Nutzer nur dafür anlegen musst.

dscl hat mir schon mal die Installation gerettet, als der Migrationsassistent Schrott gemacht hatte. Auch lassen sich dabei Einstellungen ändern, die sonst nirgendwo zu ändern sind. Und wer Lust hat, kann damit sein System schnell und gründlich crashen .

Zitat von NaStrada

Fraglich ist, ob es eine gute Idee ist.

[...]

Kann man die z.b. die 502 des Users am Mac problemlos an die 4-stellige am QNAP Nas anpassen?

Ja, geht.

Und wenn man alles richtig gemacht hat, sind auch langfristig keine Probleme damit zu erwarten.

Welcher Rechner zuerst ist völlig egal.

Zitat von Anthracite

Oder du nimmst die Systemeinstellungen, Benutzer und Gruppen, erweiterte Optionen (Rechtsklick auf den Benutzer), dort kannst du die User-Id anzeigen und ändern.

mit dscl-Befehlen komme ich leider nicht weiter, aber mit den Systemeinstellungen

Auf dem Mac werden noch UUID verwendet. Darf man die auch ändern? Vom Mac-Server sind noch Domainen-User im LAN.

Kann man Domainenuser und locale user mit gleichen Namen, UID, UUID verwenden?

Zitat von NaStrada

Auf dem Mac werden noch UUID verwendet. Darf man die auch ändern?

Wozu? Die UUID wird nicht für nfs verwendet.

Zitat von NaStrada

Kann man Domainenuser und locale user mit gleichen Namen, UID, UUID verwenden?

Kann ich dir nicht sagen. Ich habe hier keine Domäne aufgesetzt.

oh - nfs mit Mac!

Empfiehlt sich doch nicht wirklich, weil keine sichere PW Übermittlung.

SMB ist doch das einzig erforderliche Protokoll auch für iOS oder?

Zitat von NaStrada

oh - nfs mit Mac!

Genau darum ging es doch in dem Thema, siehe Eingangsbeitrag.

Bei nfs gibt es nicht nur keine sichere Passwortübermittlung, sondern es gibt überhaupt keine Passwortübermittlung. Die Authentifizierung erfolgt ausschließlich bei der Anmeldung am Client-Rechner. Und wenn es dann auch nur ein einziges Gerät im Netzwerk gibt, welches nicht unter der Kontrolle der Netzwerkadministratoren steht - was heute Normalfall ist, in der Entstehungszeit von nfs aber eher nicht vorkam - dann ist die Sicherheit von nfs gebrochen. Man kann den nfs-Zugriff auf Freigaben auf einzelne IPs begrenzen, was aber nur ein sehr begrenzter Sicherheitsgewinn ist. Ein sicherer passwortgeschützter Zugriff soll über Kerberos möglich sein, was ich aber nicht probiert habe und was im heimischen LAN auch oversized wäre, aber vielleicht richte ich das mal ein, um zu sehen, wie das funktioniert.

Dennoch kann es Argumente für den Einsatz von nfs geben. Nfs ist systemnäher für Unix-Systeme und bietet dann Möglichkeiten, die smb und afp nicht haben, z. B. Dateirechte setzen. Es kann vorkommen, dass deswegen ein Programm mit nfs funktioniert, nicht aber mit smb und nfs. Bei mir hat damals auf dem Mac das Subversion-Plugin für Eclipse nur mit nfs funktioniert. Da ich darauf für die Arbeit nicht verzichten kann, habe ich die Freigabe dann auch auf dem Mac mit nfs realisiert.

Zitat von uhai

Jetzt habe ich mir ein MacBook für unterwegs geleistet und will ebenso mit nfs auf die Verzeichnisse zugreifen

Die Freigabe von Verzeichnissen empfiehlt sich SMB.

Sind nicht unsichere APPs ein erhöhtes Sicherheitsrisiko für das gesamte Netzwerkinfrastruktur?

Zitat von Anthracite

Ein sicherer passwortgeschützter Zugriff soll über Kerberos möglich sein

Auf der QNAP würde mich auch interessieren.