MonsterKoch Posted April 22, 2021 Share Posted April 22, 2021 (edited) Hallo, Ich versuche gerade vergebens UNRAID in eine AD zu integrieren und hoffe Ihr könnt mir helfen. Zum System: UNRAID 6.9.2 Dort ist eine VM mit Windows Server 2012R2 mit AD und DNS installiert. Netzwerkeinstellungen von Unraid 192.168.1.123 unter DNS ist die IP von der VM Unter SMB habe ich folgendes eingestellt Und bei Domäne Anstelle meine Domäne natürlich den richtigen Namen. Bei AD Benutzer Habe ich nur Administrator und beim Hinzufügen der Rolle habe ich das selbe Passwort benutzt wie beim Administrator. Wenn ich nun auf Join klicke kommen ca. 2-3 min die Orangenen Balken, dass er rechnet, aber das war es auch. Nur das die VM danach gestoppt ist. Danke im voraus für eure Hilfe Edited April 22, 2021 by MonsterKoch Quote Link to comment
MonsterKoch Posted April 23, 2021 Author Share Posted April 23, 2021 Hab die Lösung gefunden, da Unraid die Array neu startet ist der DNS und Domain Server natürlich nicht erreichbar. hab ein Post gefunden in dem einer Unraid auf einem anderen DC in die Domain einbindet und dann den "selben" DC in der VM startet. Mal testen wenn ich Langeweile habe. 1 Quote Link to comment
Mimika Posted July 17, 2022 Share Posted July 17, 2022 (edited) Hi zusammen, ich versuche meinen Unraid-Server zur AD hinzuzufügen, allerdings schlägt es fehl. Ich würde gerne die Freigaben über die Gruppenrichtlinien steuern. Nachdem ich die Netzwerkeinstellungen angepasst hab und unter SMB dann die Domäne und den Admin eingetragen habe, ist der Status noch immer auf "not joined". Dies hier sehe ich unter Protokolle. Jul 17 15:55:18 NASSRV emhttpd: shcmd (989): /usr/local/emhttp/webGui/scripts/update_access Jul 17 15:55:18 NASSRV sshd[3577]: Received signal 15; terminating. Jul 17 15:55:19 NASSRV sshd[6630]: Server listening on 0.0.0.0 port 22. Jul 17 15:55:19 NASSRV sshd[6630]: Server listening on :: port 22. Jul 17 15:55:20 NASSRV emhttpd: Stopping services... Jul 17 15:55:20 NASSRV emhttpd: shcmd (993): /etc/rc.d/rc.samba stop Jul 17 15:55:20 NASSRV nmbd[3637]: [2022/07/17 15:55:20.200414, 0] ../../source3/nmbd/nmbd.c:59(terminate) Jul 17 15:55:20 NASSRV nmbd[3637]: Got SIGTERM: going down... Jul 17 15:55:20 NASSRV emhttpd: shcmd (994): rm -f /etc/avahi/services/smb.service Jul 17 15:55:20 NASSRV avahi-daemon[2330]: Files changed, reloading. Jul 17 15:55:20 NASSRV avahi-daemon[2330]: Service group file /services/smb.service vanished, removing services. Jul 17 15:55:32 NASSRV emhttpd: Starting services... Jul 17 15:55:32 NASSRV emhttpd: shcmd (1000): /etc/rc.d/rc.samba restart Jul 17 15:55:34 NASSRV root: Starting Samba: /usr/sbin/smbd -D Jul 17 15:55:34 NASSRV root: /usr/sbin/nmbd -D Jul 17 15:55:34 NASSRV smbd[6686]: [2022/07/17 15:55:34.619452, 0] ../../source3/auth/auth_util.c:1405(make_new_session_info_guest) Jul 17 15:55:34 NASSRV smbd[6686]: create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX Jul 17 15:55:34 NASSRV smbd[6686]: [2022/07/17 15:55:34.619554, 0] ../../source3/smbd/server.c:2042(main) Jul 17 15:55:34 NASSRV smbd[6686]: ERROR: failed to setup guest info. Jul 17 15:55:34 NASSRV root: /usr/sbin/wsdd Jul 17 15:55:34 NASSRV nmbd[6691]: [2022/07/17 15:55:34.648295, 0] ../../lib/util/become_daemon.c:135(daemon_ready) Jul 17 15:55:34 NASSRV nmbd[6691]: daemon_ready: daemon 'nmbd' finished starting up and ready to serve connections Jul 17 15:55:34 NASSRV root: /usr/sbin/winbindd -D Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731197, 0] ../../source3/winbindd/winbindd_cache.c:3203(initialize_winbindd_cache) Jul 17 15:55:34 NASSRV winbindd[6701]: initialize_winbindd_cache: clearing cache and re-creating with version number 2 Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731810, 0] ../../source3/winbindd/winbindd_util.c:1283(init_domain_list) Jul 17 15:55:34 NASSRV winbindd[6701]: Could not fetch our SID - did we join? Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731847, 0] ../../source3/winbindd/winbindd.c:1455(winbindd_register_handlers) Jul 17 15:55:34 NASSRV winbindd[6701]: unable to initialize domain list Jul 17 15:55:34 NASSRV avahi-daemon[2330]: Files changed, reloading. Jul 17 15:55:34 NASSRV avahi-daemon[2330]: Loading service file /services/smb.service. Jul 17 15:55:35 NASSRV avahi-daemon[2330]: Service "NASSRV" (/services/smb.service) successfully established. Jul 17 15:55:57 NASSRV nmbd[6691]: [2022/07/17 15:55:57.351656, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2) Jul 17 15:55:57 NASSRV nmbd[6691]: ***** Jul 17 15:55:57 NASSRV nmbd[6691]: Jul 17 15:55:57 NASSRV nmbd[6691]: Samba name server NASSRV is now a local master browser for workgroup HEIM on subnet 10.0.0.222 Jul 17 15:55:57 NASSRV nmbd[6691]: Jul 17 15:55:57 NASSRV nmbd[6691]: ***** Eine Idee, was ich noch ausprobieren könnte? Unraid kehrt jedes Mal wieder zur Workgroup zurück. Liebe Grüße Mimika Edited July 17, 2022 by Mimika Quote Link to comment
mgutt Posted July 17, 2022 Share Posted July 17, 2022 Schau mal bitte ob du in dem Thread was Hilfreiches findest: Quote Link to comment
psychofaktory Posted September 7, 2022 Share Posted September 7, 2022 Hallo, ich habe folgende Konstellation: Ein Unraid-Server ist als Mitglied in eine Domäne aufgenommen. Als "AD initialer Benutzter" ist "Administrator" angegeben. Als "AD initiale Gruppe" ist "domänen-admins" angegeben. Mit Anwendung der Einstellung werden alle Freigaben unter /mnt/user mit dem Besitzer "Administrator", der Gruppe "domänen-admins" und den Rechten "rwxrwxrwx" versehen. Neben den Unraid-Default-Freigaben, habe ich eine Freigabe "Lehrer", sowie eine Freigabe "Schueler" angelegt. Auf die Freigabe "Lehrer" sollen nur Lehrer Schreibrechte bekommen. Ein Dienstbenutzer "Scan" soll jedoch in den Unterordner "Scan" Dateien ablegen können. Auf die Freigabe "Schueler" sollen Lehrer Schreibrechte bekommen. Schüler sollen nur einen Unterordner "Allgemein" sehen auf dem sie Leserechte haben sollen, sowie einen Ordner für die eigene Klasse sehen und Schreibrechte darauf haben. Gleichzeitig sind die Freigaben als externe Shares in einen Nextcloud-Docker eingebunden. Von Windows aus kann ich mit dem Benutzer "Administrator" dann auf die Freigaben zugreifen, und über "Eigenschaften" -> "Sicherheit" weitere Berechtigungen vergeben. In der Standardkonfiguration haben erst einmal alle überall Zugriff. Um das einzuschränken, ändere ich in Unraid die Gruppe für die Freigabe "Lehrer" auf die AD-Gruppe "Lehrer", sowie für die Freigabe "Schueler" auf die AD-Gruppe "Schüler". Die Rechte werden jeweils rekursiv auf "rwxrwx---" gesetzt. Anschließend vergebe ich von Windows aus granularere Berechtigungen. Mit den SMB-Extras hide unreadable = yes access based share enum = yes konnte ich die zugriffsbasierte Aufzählung aktivieren und somit nur die Ordner für die Benutzer anzeigen lassen, für die auch eine entsprechende Berechtigung vorhanden ist. Ansonsten funktioniert die Konfiguration allerdings leider nur bedingt. Bei dieser Variante haben die Mitglieder der AD-Gruppe "Lehrer" dann keinen Zugriff auf die Freigabe "Schueler". Außerdem kann in der Nextcloud garnicht mehr auf die Freigaben zugegriffen werden. Ändere ich die Gruppe auf "users" kann in der Nextcloud wieder auf die Freigaben zugegriffen werden. Bei dieser Variante können allerdings Schüler und Lehrer nicht mehr auf die Freigaben zugreifen. Wenn ich die vorgegebenen Benutzer und Gruppen aus den Sicherheitseigenschaften der Freigabe in Windows entferne bleiben immer diese Berechtigungseinträge übrig: Wird dann bei der Freigabe "Lehrer" z.B. die AD-Gruppe "Lehrer" mit der Berechtigung "Ändern" mit aufgenommen, erscheint nach "Übernehmen" dann anstatt "Ändern" "Vollzugriff". Dennoch haben die Lehrer keinen Zugriff auf die Freigabe. Was muss ich konfigurieren, damit gleichzeitig von den definierten AD-Gruppen als auch vom Nextcloud-Docker aus auf die Freigaben sowie die jeweiligen Unterordner zugegriffen werden kann? Quote Link to comment
mgutt Posted September 8, 2022 Share Posted September 8, 2022 Man könnte über die SMB Config versuchen, dass alles der Gruppe users zugeordnet wird. Oder du installierst Nextcloud neu und vergibst dort die ID der AD-Gruppe. Ich mache das beim Original Nextcloud Cotnainer zb mit --user=99:100 um nobody:users zu erzwingen. Bei dir wäre dann evtl die ID der AD-Gruppe die Lösung. Noch eine Idee wäre es bei Nextcloud einen AD User für die Einbindung des SMB External zu nutzen oder hast du das schon versucht? Quote Link to comment
psychofaktory Posted September 8, 2022 Share Posted September 8, 2022 2 hours ago, mgutt said: Oder du installierst Nextcloud neu und vergibst dort die ID der AD-Gruppe. Ich mache das beim Original Nextcloud Cotnainer zb mit --user=99:100 um nobody:users zu erzwingen. Bei dir wäre dann evtl die ID der AD-Gruppe die Lösung. Das möchte ich eigentlich vermeiden. Zumal dadurch sicherlich andere Probleme entstehen werden, da Nextcloud neben den beiden genannten Ordnern auch noch auf andere Unraid-Freigaben zugreift, aud die nicht von Windows aus zugegriffen wird. 2 hours ago, mgutt said: Noch eine Idee wäre es bei Nextcloud einen AD User für die Einbindung des SMB External zu nutzen oder hast du das schon versucht? Aktuell sind die Shares direkt im Nextcloud-Docker gemountet und dann über das External Storage Plugin als lokale Folder gemountet. Eine Einbindung über SMB wäre da wahrscheinlich deutlich weniger Performant. 2 hours ago, mgutt said: Man könnte über die SMB Config versuchen, dass alles der Gruppe users zugeordnet wird. Wie müsste die SMB Config dann aussehen? Das Problem das bei allen Varianten generell auftritt ist, dass ich für die Unraid-Freigaben nur eine Gruppe hinterlegen kann und dann in den Berechtigungen nur r, w, x für diese Gruppe oder eben alle anderen setzen kann. Wenn die festgelegte Gruppe "users" ist, damit Nextcloud auf die Daten zugreifen kann, muss ich für "others" mindestens r und x setzen, damit die Windows-Freigabe für z.B. die Lehrer angezeigt wird. Dann können aber auch die Schüler die Freigabe einsehen. Und sowohl Schüler als auch Lehrer nur lesend zugreifen. Da muss es doch irgendeinen Lösung geben... Was ich auch schon probiert habe war die Gruppe auf "users" zu setzen und dann mit setfacl -m "g:lehrer:rwx" /mnt/user/Lehrer/ die Lehrer als zweite Gruppe zu hinterlegen. Das hat aber wohl leider nicht funktioniert, denn auch nach der Anpassung hatten die Lehrer keinen Zugriff. Quote Link to comment
mgutt Posted September 8, 2022 Share Posted September 8, 2022 1 hour ago, psychofaktory said: Wie müsste die SMB Config dann aussehen? https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#FORCEGROUP Dadurch wird jede neue Datei der Gruppe zugordnet, die du erzwingst. Bestehende musst du vermutlich mit chown gerade ziehen. Quote Link to comment
psychofaktory Posted September 8, 2022 Share Posted September 8, 2022 Wie kann ich damit dann gleichzeitig eine Freigabe für Lehrer mit Schreibzugriff, für Schüler nur mit Lesezugriff und für Nextcloud mit Vollzugriff einrichten? Wie ist das in Unraid dann anzuwenden? Quote Link to comment
mgutt Posted September 9, 2022 Share Posted September 9, 2022 On 9/8/2022 at 12:39 PM, psychofaktory said: Wie kann ich damit dann gleichzeitig eine Freigabe für Lehrer mit Schreibzugriff, für Schüler nur mit Lesezugriff und für Nextcloud mit Vollzugriff einrichten? Was genau macht denn Unraid mit den SMB Configs, wenn man AD eingerichtet hat? Hat man dann in der Unraid GUI die Möglichkeit Gruppen bei den Shares einzustellen? Würde ich das manuell machen, würde ich dem Share A die AD Gruppe Lehrer geben und dem Share B die AD Gruppen Lehrer und Schüler. Dann force group auf users, damit Nextcloud darauf zugreifen kann. Quote Link to comment
psychofaktory Posted September 9, 2022 Share Posted September 9, 2022 39 minutes ago, mgutt said: Was genau macht denn Unraid mit den SMB Configs, wenn man AD eingerichtet hat? Das ist eine gute Frage. Was da genau im Hintergrund passiert kann ich leider nicht sagen. 53 minutes ago, mgutt said: Hat man dann in der Unraid GUI die Möglichkeit Gruppen bei den Shares einzustellen? Nein, leider gibt es offenbar keine Grafische Möglichkeit hier etwas anzupassen. Was ich bisher in Erfahrung bringen konnte: Über die GUI kann ersteinmal nur die AD-Anbindung durchgeführt werden. Die Einstellungen für den SMB Benutzer Zugriff in den Freigabe-Einstellungen bleiben davon vollkommen unberührt. Dort lassen sich weiterhin nur die Zugriffsrechte für die Benutzer festlegen die über die Unraid eigene Benutzerverwaltung angelegt wurden. In der Unraid-Benutzerverwaltung, sowie auch sonst tauchen die AD-Benutzer und Gruppen nirgends auf. Die Einstellungen sind primär über einen Windows-Rechner innerhalb der Domäne vorzunehmen. Der Benutzer der für den AD-join verwendet wurde hat auf die Unraid-Freigaben standardmäßig Vollzugriff und kann somit zur Vergabe der Berechtigungen verwendet werden. Auf vorhandene Freigaben kann man dann den Besitz übernehmen und die Rechte wie gewünscht vergeben. Nur funktioniert das eben leider nicht so wie es soll, da die UNIX-Berechtigungen hier noch mit reinspielen und in der Praxis wohl nur Mitglieder aus AD-Gruppen Zugriff haben, die auch in der Gruppe sind die als Unix-Gruppe angegeben wurde. Oder man vergibt mindestens die Rechte r-x für "Andere". Somit ist selbst eine nur leicht komplexere Berechtigungsstruktur nicht möglich. Unterm Strich muss ich aktuell die UNIX-Rechte 0777 setzen, damit ein Zugriff von Windows für die verschiedenen Gruppen aus möglich ist und gleichzeit vom Nextcloud-Docker aus. Damit haben aber eben alle Vollzugriff. Auch die garkeinen, oder nur Lesezugriff haben sollen. Wenn ich dann unter Windows die Sicherheits-Berechtigungen für "JEDER" entziehe, werden auch die UNIX-Rechte auf 0770 gesetzt. Somit hat dann wieder nur die festgelegte UNIX-Gruppe Zugriff. Im Beispiel also entweder Schüler, Lehrer, oder Nextcloud. Alle anderen sind jeweils außen vor. Die Freigabe-Berechtigungen lassen sich von Windows aus übrigens nicht einstellen. Hier wird "JEDER" mit Vollzugriff angezeigt. Die Schaltflächen für Hinzufügen oder Entfernen sind ausgegraut. 49 minutes ago, mgutt said: Würde ich das manuell machen, würde ich dem Share A die AD Gruppe Lehrer geben und dem Share B die AD Gruppen Lehrer und Schüler. Wie kann ich denn dem Share mehrere Gruppen zuweisen? Die Zuweisung mehrerer Gruppen in den Sicherheitseinstellungen von Windows aus funktioniert zwar, aber effektiv wird der Zugriff dann wieder unterbunden weil in den UNIX-Berechtigungen nur eine Gruppe hinterlegt werden kann. Und über setfacl mehrere Gruppen zuzuweisen hat wie bereits erwähnt leider auch nicht zum Ziel geführt. 51 minutes ago, mgutt said: Dann force group auf users, damit Nextcloud darauf zugreifen kann. Wo wäre das einzustellen? in den SMB-Extras? Wie müsste der Eintrag für Nextcloud dann aussehen? Quote Link to comment
mgutt Posted September 9, 2022 Share Posted September 9, 2022 Ich habe eine Anleitung gefunden: https://www.linuxserver.io/blog/2015-07-20-how-to-active-directory-on-unraid-6 Der Autor bezieht sich dabei denke ich auf diesen Post: https://forums.unraid.net/topic/39034-active-directory-permissions-in-unraid-6/#comment-380934 Denk beim Testen dran, dass du dich jedes mal mit "Lehrer" bzw "Schüler" in Windows abmeldest, wenn du die Rechte im AD änderst, ansonsten sind die Rechte evtl nicht aktuell. Quote Link to comment
psychofaktory Posted September 9, 2022 Share Posted September 9, 2022 (edited) 52 minutes ago, mgutt said: Ich habe eine Anleitung gefunden: https://www.linuxserver.io/blog/2015-07-20-how-to-active-directory-on-unraid-6 Nach dieser Anleitung bin ich bereits vorgegangen. Die zu erwartenden Ergebnisse spiegeln leider nicht die die ich tatsächlich gesammelt hab. In dem verlinkten Thread wird ja erwähnt, dass die UNIX-Berechtigungen egal wären. Es wurde "Domain Admins" gewählt. Wenn ich das so einstelle, dann haben auch nur Domain Admins Zugriff. Keine Lehrer, keine Schüler und Nextcloud auch nicht. Die Anleitung ist mittlerweile mehr als 7 Jahre alt und bezieht sich auf eine gänzlich andere Unraid-Version, eine gänzlich andere Samba-Version, und vermutlich Server 2012R2 wenn ich die Screenshots so ansehe. Ich vermute hier hat sich einiges geändert. Grundsätzlich wäre es aber wohl möglich so wie ich das gerne nutzen würde, oder war es zumindest mal. Meine Gegebenheiten sind: Unraid 6.10.3 (mit der standardmäßig dazu ausgelieferten Samba-Version 4.15.7) Windows 2016 Standard (mit aktuellem Patch-Level) Der Windows-Server ist gleichzeit Domänen-Controller Der Zugriff auf die Freigaben von Windows aus erfolgt über SMB 3.1.1 Domänen-Funktionsebene 2016 Nextcloud-Docker in der aktuellen Version 52 minutes ago, mgutt said: Denk beim Testen dran, dass du dich jedes mal mit "Lehrer" bzw "Schüler" in Windows abmeldest, wenn du die Rechte im AD änderst, ansonsten sind die Rechte evtl nicht aktuell. Das habe ich bei den Anpassungen der Berechtigungen gemacht. Sogar mit Neustart. Allerdings waren die Änderungen an den Berechtigungen (sowohl UNIX als auch Windows-Sicherheit) in weiteren Tests direkt live wirksam für meine Test-User. Daher gehe ich davon aus, dass das evtl. garnicht erforderlich wäre. Im AD hatte ich aber auch keine Änderungen durchzuführen. Die User waren alle bereits in den Gruppen in denen sie sein sollten. Anstatt der RO-Gruppe habe ich nur "Schueler" und anstatt der RW-Gruppe habe ich "Lehrer". Die User sind immer Gruppen zugewiesen und in den Sicherheitseinstellungen der Freigaben werden ausschließlich Berechtigungen für Gruppen erteilt. Nie für einzelne Benutzer. Edited September 9, 2022 by psychofaktory Quote Link to comment
mgutt Posted September 9, 2022 Share Posted September 9, 2022 16 minutes ago, psychofaktory said: Nach dieser Anleitung bin ich bereits vorgegangen. Also dein 1. Beitrag zeigt das aber nicht. Das fängt schon damit an, dass du die Rechte der Shares in Linix geändert hast: Quote Mit Anwendung der Einstellung werden alle Freigaben unter /mnt/user mit dem Besitzer "Administrator", der Gruppe "domänen-admins" und den Rechten "rwxrwxrwx" versehen. Das hier ist auch nicht korrekt: Quote Um das einzuschränken, ändere ich in Unraid die Gruppe für die Freigabe "Lehrer" auf die AD-Gruppe "Lehrer", sowie für die Freigabe "Schueler" auf die AD-Gruppe "Schüler". Die Rechte werden jeweils rekursiv auf "rwxrwx---" gesetzt. Wieso setzt du in Unraid irgendwelche Rechte? Die Rechte aus dem AD werden ja über ACLs gesetzt. Nicht über die Linux-Standardrechte. Soll heißen: Auch hier alles auf nobody:users lassen und Windows die ACL-Rechte setzen lassen. Also deine Änderungen durch den User "Administrator" macht das dann automatisch. Prüfen kannst du die jeweiligen ACL-Rechte so: getfacl /mnt/user/Lehrer Ohne AD/ACL sieht das zB so aus # getfacl /mnt/user/Lehrer getfacl: Removing leading '/' from absolute path names # file: mnt/user/Lehrer # owner: nobody # group: users user::rwx group::rwx other::rwx aber sobald du im AD Rechte eingestellt hast, ist die Liste deutlich länger. 24 minutes ago, psychofaktory said: Anstatt der RO-Gruppe habe ich nur "Schueler" und anstatt der RW-Gruppe habe ich "Lehrer" Das solltest du dir abgewöhnen und stattdessen mit Share-bezogenen Gruppen arbeiten, wie im Beispiel vorgeschlagen. Das erlaubt später granularere Rechteverteilungen und du weißt ganz genau wo ein User welche Rechte hat und wo nicht. Mit der Angabe "Schüler" hast du später das Problem, dass du evtl nicht mehr weißt, bei welchen Shares du diese Gruppe zugeordnet hast. Als erstes empfehle ich dir alle ACL-Rechte noch mal zu entfernen: setfacl -bn -R /mnt/user/ Dann gehst du in Unraid hin und setzt wieder alles auf nobody:user über Tools > Docker Safe New Perms. Unraid führt dann ein rekursives chown aus, lässt aber den Ordner /mnt/user/appdata dabei außen vor, weil darin keine Rechte geändert werden dürfen. Und nun erstellst du share-bezogene RW und RO Gruppen und prüfst danach mal die ACLs. Quote Link to comment
psychofaktory Posted September 9, 2022 Share Posted September 9, 2022 5 minutes ago, mgutt said: Wieso setzt du in Unraid irgendwelche Rechte? Die Rechte aus dem AD werden ja über ACLs gesetzt. Nicht über die Linux-Standardrechte. Soll heißen: Auch hier alles auf nobody:users lassen und Windows die ACL-Rechte setzen lassen. Also deine Änderungen durch den User "Administrator" macht das dann automatisch. Ursprünglich bin ich nach der verlinkten Anleitung von Linuxserver.io vorgegangen. Dabei habe ich die ACLs auch wie dort beschrieben rein von Windows aus gesetzt. Das war aber so zu Beginn garnicht möglich, da "nobody" Besitzer war. Daher musste ich erst die Besitzrechte übernehmen. Dann war mir aufgefallen, dass mit dem Domänen-join die UNIX-Gruppe von "users" zu "Domain Admins" gewechselt wurde. Das war grundsätzlich für mich kein Problem. Als ich dann aber festgestellt hatte, dass jeder Zugriff auf die Freigaben hatte, habe ich über Windows die ACL "JEDER" entfernt. Damit wurde dann unter Unraid die UNIX-Berechtigung für "andere" ebenfalls entfernt (0777 zu 0770). In der Folge hatte ich von der Nextcloud aus keinen Zugriff mehr. Erst ab hier habe ich dann versucht die Berechtigungen von Unraid aus zum Test anzupassen um verschiedene Konstellationen auszuprobieren und auch um zu verstehen wie die Zusammenhänge aussehen und was im Hintergrund abläuft wenn Berechtigungen geändert werden. 14 minutes ago, mgutt said: Als erstes empfehle ich dir alle ACL-Rechte noch mal zu entfernen: setfacl -bn -R /mnt/user/ Das hatte ich zwischen den Versuchen auch immer wieder gemacht um immer wieder von einer einheitlichen Basis ausgehen zu können. Nichts desto trotz werde ich die von Dir empfohlene Vorgehensweise morgen 1:1 so nochmal umsetzen und dann testen und berichten. Danke schon mal für Deine Hilfe! Quote Link to comment
mgutt Posted September 10, 2022 Share Posted September 10, 2022 9 hours ago, psychofaktory said: In der Folge hatte ich von der Nextcloud aus keinen Zugriff mehr. Bring erstmal das AD so zum Laufen, wie du es benötigst. Danach überlegen wir uns wie wir das mit Nextcloud lösen. Quote Link to comment
psychofaktory Posted September 10, 2022 Share Posted September 10, 2022 Ich bin jetzt wie folgt vorgegangen: Als erstes habe ich die ACLs zurückgesetzt. setfacl -bn -R /mnt/user/ Dann über Tools > Docker Safe New Perms die Standard-Unix-Berechtigungen wiederhergestellt. Anschließend wollte ich unter Windows die Sicherheits-Berechtigungen für die Freigabe "Lehrer" wie gewünscht setzen. Zu dem Zeitpunkt haben die Prizipale "nobody", "users" und "Jeder" Vollzugriff. "Nobody" ist der Besitzer, was laut dem verlinkten Thread bzw. der Linuxserver-Anleitung wohl nicht so sein sollte. Nobody und Users hätte ich jetzt unangetastet in den Sicherheits-Berechtigungendort belassen, da die ja offensichtlich für die Nextcloud benötigt werden. Jetzt wollte ich also "Jeder" entfernen, und die Gruppe "Lehrer" mit Vollzugriff hinzufügen (nur Ändern wird ja von Unraid nicht unterstützt, bzw. automatisch auf Vollzugriff geändert). Beim Versuch zu Übernehmen heißt es dann aber "Sie müssen Administratorenberechtigungen angeben, um diese Attribute zu ändern". Aber auch mit Administratorenberechtigungen wird der Zugriff verweigert. Obwohl ich als "Administrator" nicht der Besitzer der Freigabe bin, und der Zugriff verweigert wurde, wurde "Jeder" dennoch aus den Sicherheitsprinzipialen entfernt. Damit verliere ich allerdings auch selbst den Zugriff auf die Freigabe. Somit bleibt mir also nur die Besitzübernahme der Freigabe. Von Windows aus wird mir das jedoch ebenfalls verweigert. Also setze ich "Administrator" über die Unix-Berechtigungen als Besitzer und erhalte somit wieder Zugriff und kann jetzt auch die gewünschten Berechtigungen vergeben. Dann der Test: Weder mit einem Mitglied der Gruppe "Lehrer", noch einem Mitglied der Gruppe "Schüler" kann auf die Freigabe zugegriffen werden. Nextcloud hat weiterhin Schreibrechte in dem Verzeichnis. Das Ergebnis stellt so ziemlich genau meinen Ausgangszustand dar bevor ich den Thread hier eröffnet hab. Die bis dahin gesammelten Erkenntnisse hatten mich dazu veranlasst dann zum Test die Unix-Gruppe "users" zu entfernen und dafür die Gruppe "Lehrer" hinzuzufügen. Die Lehrer konnten jetzt auf die Freigabe zugreifen, aber für Schüler sowie die Nextcloud war ein Zugriff nicht mehr möglich. Daher entstand meine Vermutung, nur Mitglieder der explizit angegebenen Unix-Gruppe haben Zugriff auf die Freigabe. Wenn ich das aus der Linuxserver-Anleitung bzw. dem Thread von 2015 richtig lese, dann war meine Vorgehensweise wohl grundsätzlich nicht verkehrt. Nur sollte eben eigentlich ein Zugriff auf die Freigabe möglich sein, sobald die ACLs unter Windows korrekt gesetzt wurden. An anderen Stellen sollte garnicht angesetzt werden müssen. Auch nicht zur Besitzübernahme. Wo liegt hier also der Fehler? Und wie wäre es richtig zu machen? Quote Link to comment
mgutt Posted September 10, 2022 Share Posted September 10, 2022 Wie sehen denn die ACLs des Lehrer-Shares aus? Quote Link to comment
psychofaktory Posted September 10, 2022 Share Posted September 10, 2022 12 minutes ago, mgutt said: Wie sehen denn die ACLs des Lehrer-Shares aus? getfacl /mnt/user/Lehrer getfacl: Removing leading '/' from absolute path names # file: mnt/user/Lehrer # owner: administrator # group: users user::rwx user:lehrer:rwx user:scan:r-x group::rwx group:users:rwx group:administrator:rwx group:lehrer:rwx group:scan:r-x mask::rwx other::--- default:user::rwx default:user:administrator:rwx default:user:lehrer:rwx default:group::--- default:group:users:--- default:group:administrator:rwx default:group:lehrer:rwx default:mask::rwx default:other::--- Quote Link to comment
mgutt Posted September 11, 2022 Share Posted September 11, 2022 Dann bitte noch von Schüler und den Mitgliedsverhältnissen die Screens Quote Link to comment
psychofaktory Posted September 11, 2022 Share Posted September 11, 2022 getfacl /mnt/user/Schueler getfacl: Removing leading '/' from absolute path names # file: mnt/user/Schueler # owner: administrator # group: users user::rwx user:lehrer:r-x user:schüler:r-x group::rwx group:users:rwx group:administrator:rwx group:lehrer:r-x group:schüler:r-x mask::rwx other::--- Auch hier gleiches Verhalten. Weder Lehrer noch Schüler haben Zugriff auf die Freigabe. Nextcloud schon. Die Mitgliedsverhältnisse sehen so aus, dass alle Schüler Mitglied der Gruppe "Schüler" sind und alle Lehrer Mitglied der Gruppe "Lehrer". Scan ist ein eigenständiger Benutzer der keiner der beiden Gruppen angehört. Ich habe bei dem letzten Test bewusst noch nicht mit Share bezogenen rw-/ro-Gruppen gearbeitet, um die Struktur hier einfach zu halten und damit die Übersicht hier im Thread nicht verloren geht. Rein funktionell sollte es ja keinen Unterschied machen. Quote Link to comment
psychofaktory Posted September 15, 2022 Share Posted September 15, 2022 @mgutt wäre es in Ordnung wenn ich die Anfrage auch nochmals im internationalen Teil des Forums stelle um die Reichweite zu erhöhen? Es wäre wirklich wichtig, dass das sauber funktioniert. Quote Link to comment
mgutt Posted September 15, 2022 Share Posted September 15, 2022 Ich würde hier kommentieren. Viele Beiträge in Richtung AD gibt es nicht bei Unraid: Quote Link to comment
marhal Posted December 8, 2022 Share Posted December 8, 2022 Moin, ich komme aus irgendwelche Gründen nicht mehr auf meine SMB Shares. Ich habe Unraid in eine AD Domain gejoint. Was auch problemlos funktionierte und von jetzt auf gleich komme ich nicht mehr auf die SMB Shares. Im log habe ich den Fehler gefunden. Hat jemand eine Idee woran das liegen könnte, bzw hatte auch schon das Poblem unraid check_winbind_security: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS Mit einem neustart funktioniert das eine ganze Weile. Gruß Marhal Quote Link to comment
marhal Posted January 3, 2023 Share Posted January 3, 2023 Hallo, ich kann nicht mehr auf mein SMB Share zugreifen, von Heut auf Morgen. Wenn ich im Unraid Log schaue kommt folgende Fehlermeldung. Hat jemand schon das Problem gehabt. Ich habe den Unraid Server in eine Domain Umgebung eingestellt. Es lief jetzt auch 3-4 Woche gut. Bis ich mich heute Morgen einloggen wollte. Quote Jan 3 11:27:29 morton smbd[30469]: [2023/01/03 11:27:29.158355, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30469]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx]) Jan 3 11:27:29 morton smbd[30470]: [2023/01/03 11:27:29.168170, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30470]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx]) Jan 3 11:27:29 morton smbd[30471]: [2023/01/03 11:27:29.177738, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30471]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx]) Die User habe ich mit XXX ersetzt. Ich habe auch den rc.samba neugestartet und auch den CLient neu gestartet. Gruß Marhal Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.