Alles rund um Active Directory (AD, Domäne, ACL, etc)


MonsterKoch

Recommended Posts

Hallo,

Ich versuche gerade vergebens UNRAID in eine AD zu integrieren und hoffe Ihr könnt mir helfen.

 

Zum System:

UNRAID 6.9.2

 

Dort ist eine VM mit Windows Server 2012R2 mit AD und DNS installiert.

 

Netzwerkeinstellungen von Unraid

192.168.1.123 unter DNS ist die IP von der VM

 

856459727_unraidnetzwerk.PNG.ad1b59f7bd7ee7ea2a0a5149a91ef453.PNG

 

Unter SMB habe ich folgendes eingestellt

666448408_smb1.PNG.e3e77bec1a5fa18cc70a6113e4647ac5.PNG

 

Und bei Domäne 

1614200770_domne.PNG.badef82c751c9cbd6ed576db376243be.PNG

Anstelle meine Domäne natürlich den richtigen Namen. Bei AD Benutzer Habe ich nur Administrator und beim Hinzufügen der Rolle habe ich das selbe Passwort benutzt wie beim Administrator. Wenn ich nun auf Join klicke kommen ca. 2-3 min die Orangenen Balken, dass er rechnet, aber das war es auch. Nur das die VM danach gestoppt ist. 

 

Danke im voraus für eure Hilfe

Edited by MonsterKoch
Link to comment

Hab die Lösung gefunden, da Unraid die Array neu startet ist der DNS und Domain Server natürlich nicht erreichbar.

 

hab ein Post gefunden in dem einer Unraid auf einem anderen DC in die Domain einbindet und dann den "selben" DC in der VM startet.

 

Mal testen wenn ich Langeweile habe.

  • Like 1
Link to comment
  • 1 year later...

Hi zusammen,

 

ich versuche meinen Unraid-Server zur AD hinzuzufügen, allerdings schlägt es fehl.

Ich würde gerne die Freigaben über die Gruppenrichtlinien steuern.

 

Nachdem ich die Netzwerkeinstellungen angepasst hab und unter SMB dann die Domäne und den Admin eingetragen habe, ist der Status noch immer auf "not joined".

 

Dies hier sehe ich unter Protokolle.

 

Jul 17 15:55:18 NASSRV emhttpd: shcmd (989): /usr/local/emhttp/webGui/scripts/update_access
Jul 17 15:55:18 NASSRV sshd[3577]: Received signal 15; terminating.
Jul 17 15:55:19 NASSRV sshd[6630]: Server listening on 0.0.0.0 port 22.
Jul 17 15:55:19 NASSRV sshd[6630]: Server listening on :: port 22.
Jul 17 15:55:20 NASSRV emhttpd: Stopping services...
Jul 17 15:55:20 NASSRV emhttpd: shcmd (993): /etc/rc.d/rc.samba stop
Jul 17 15:55:20 NASSRV nmbd[3637]: [2022/07/17 15:55:20.200414, 0] ../../source3/nmbd/nmbd.c:59(terminate)
Jul 17 15:55:20 NASSRV nmbd[3637]: Got SIGTERM: going down...
Jul 17 15:55:20 NASSRV emhttpd: shcmd (994): rm -f /etc/avahi/services/smb.service
Jul 17 15:55:20 NASSRV avahi-daemon[2330]: Files changed, reloading.
Jul 17 15:55:20 NASSRV avahi-daemon[2330]: Service group file /services/smb.service vanished, removing services.
Jul 17 15:55:32 NASSRV emhttpd: Starting services...
Jul 17 15:55:32 NASSRV emhttpd: shcmd (1000): /etc/rc.d/rc.samba restart
Jul 17 15:55:34 NASSRV root: Starting Samba: /usr/sbin/smbd -D
Jul 17 15:55:34 NASSRV root: /usr/sbin/nmbd -D
Jul 17 15:55:34 NASSRV smbd[6686]: [2022/07/17 15:55:34.619452, 0] ../../source3/auth/auth_util.c:1405(make_new_session_info_guest)
Jul 17 15:55:34 NASSRV smbd[6686]: create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX
Jul 17 15:55:34 NASSRV smbd[6686]: [2022/07/17 15:55:34.619554, 0] ../../source3/smbd/server.c:2042(main)
Jul 17 15:55:34 NASSRV smbd[6686]: ERROR: failed to setup guest info.
Jul 17 15:55:34 NASSRV root: /usr/sbin/wsdd
Jul 17 15:55:34 NASSRV nmbd[6691]: [2022/07/17 15:55:34.648295, 0] ../../lib/util/become_daemon.c:135(daemon_ready)
Jul 17 15:55:34 NASSRV nmbd[6691]: daemon_ready: daemon 'nmbd' finished starting up and ready to serve connections
Jul 17 15:55:34 NASSRV root: /usr/sbin/winbindd -D
Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731197, 0] ../../source3/winbindd/winbindd_cache.c:3203(initialize_winbindd_cache)
Jul 17 15:55:34 NASSRV winbindd[6701]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731810, 0] ../../source3/winbindd/winbindd_util.c:1283(init_domain_list)
Jul 17 15:55:34 NASSRV winbindd[6701]: Could not fetch our SID - did we join?
Jul 17 15:55:34 NASSRV winbindd[6701]: [2022/07/17 15:55:34.731847, 0] ../../source3/winbindd/winbindd.c:1455(winbindd_register_handlers)
Jul 17 15:55:34 NASSRV winbindd[6701]: unable to initialize domain list
Jul 17 15:55:34 NASSRV avahi-daemon[2330]: Files changed, reloading.
Jul 17 15:55:34 NASSRV avahi-daemon[2330]: Loading service file /services/smb.service.
Jul 17 15:55:35 NASSRV avahi-daemon[2330]: Service "NASSRV" (/services/smb.service) successfully established.
Jul 17 15:55:57 NASSRV nmbd[6691]: [2022/07/17 15:55:57.351656, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
Jul 17 15:55:57 NASSRV nmbd[6691]: *****
Jul 17 15:55:57 NASSRV nmbd[6691]:
Jul 17 15:55:57 NASSRV nmbd[6691]: Samba name server NASSRV is now a local master browser for workgroup HEIM on subnet 10.0.0.222
Jul 17 15:55:57 NASSRV nmbd[6691]:
Jul 17 15:55:57 NASSRV nmbd[6691]: *****

 

Eine Idee, was ich noch ausprobieren könnte?

 

Unraid kehrt jedes Mal wieder zur Workgroup zurück.

 

Liebe Grüße

Mimika

Edited by Mimika
Link to comment
  • 1 month later...

Hallo,

 

ich habe folgende Konstellation:

Ein Unraid-Server ist als Mitglied in eine Domäne aufgenommen.

 

Als "AD initialer Benutzter" ist "Administrator" angegeben.

Als "AD initiale Gruppe" ist "domänen-admins" angegeben.

 

Mit Anwendung der Einstellung werden alle Freigaben unter /mnt/user mit dem Besitzer "Administrator", der Gruppe "domänen-admins" und den Rechten "rwxrwxrwx" versehen.

 

Neben den Unraid-Default-Freigaben, habe ich eine Freigabe "Lehrer", sowie eine Freigabe "Schueler" angelegt.

Auf die Freigabe "Lehrer" sollen nur Lehrer Schreibrechte bekommen. Ein Dienstbenutzer "Scan" soll jedoch in den Unterordner "Scan" Dateien ablegen können.

Auf die Freigabe "Schueler" sollen Lehrer Schreibrechte bekommen. Schüler sollen nur einen Unterordner "Allgemein" sehen auf dem sie Leserechte haben sollen, sowie einen Ordner für die eigene Klasse sehen und Schreibrechte darauf haben.

 

Gleichzeitig sind die Freigaben als externe Shares in einen Nextcloud-Docker eingebunden.

 

Von Windows aus kann ich mit dem Benutzer "Administrator" dann auf die Freigaben zugreifen, und über "Eigenschaften" -> "Sicherheit" weitere Berechtigungen vergeben.

In der Standardkonfiguration haben erst einmal alle überall Zugriff.

Um das einzuschränken, ändere ich in Unraid die Gruppe für die Freigabe "Lehrer" auf die AD-Gruppe "Lehrer", sowie für die Freigabe "Schueler" auf die AD-Gruppe "Schüler". Die Rechte werden jeweils rekursiv auf "rwxrwx---" gesetzt.

Anschließend vergebe ich von Windows aus granularere Berechtigungen.

Mit den SMB-Extras

hide unreadable = yes
access based share enum = yes

konnte ich die zugriffsbasierte Aufzählung aktivieren und somit nur die Ordner für die Benutzer anzeigen lassen, für die auch eine entsprechende Berechtigung vorhanden ist.

 

Ansonsten funktioniert die Konfiguration allerdings leider nur bedingt.

Bei dieser Variante haben die Mitglieder der AD-Gruppe "Lehrer" dann keinen Zugriff auf die Freigabe "Schueler".

Außerdem kann in der Nextcloud garnicht mehr auf die Freigaben zugegriffen werden.

 

Ändere ich die Gruppe auf "users" kann in der Nextcloud wieder auf die Freigaben zugegriffen werden.

Bei dieser Variante können allerdings Schüler und Lehrer nicht mehr auf die Freigaben zugreifen.

 

Wenn ich die vorgegebenen Benutzer und Gruppen aus den Sicherheitseigenschaften der Freigabe in Windows entferne bleiben immer diese Berechtigungseinträge übrig:

grafik.png.9cb089975933823d658f5b677213fb03.png

Wird dann bei der Freigabe "Lehrer" z.B. die AD-Gruppe "Lehrer" mit der Berechtigung "Ändern" mit aufgenommen, erscheint nach "Übernehmen" dann anstatt "Ändern" "Vollzugriff". Dennoch haben die Lehrer keinen Zugriff auf die Freigabe.

 

 

Was muss ich konfigurieren, damit gleichzeitig von den definierten AD-Gruppen als auch vom Nextcloud-Docker aus auf die Freigaben sowie die jeweiligen Unterordner zugegriffen werden kann?

Link to comment

Man könnte über die SMB Config versuchen, dass alles der Gruppe users zugeordnet wird.

 

Oder du installierst Nextcloud neu und vergibst dort die ID der AD-Gruppe. Ich mache das beim Original Nextcloud Cotnainer zb mit --user=99:100 um nobody:users zu erzwingen. Bei dir wäre dann evtl die ID der AD-Gruppe die Lösung.

 

Noch eine Idee wäre es bei Nextcloud einen AD User für die Einbindung des SMB External zu nutzen oder hast du das schon versucht?

Link to comment
2 hours ago, mgutt said:

Oder du installierst Nextcloud neu und vergibst dort die ID der AD-Gruppe. Ich mache das beim Original Nextcloud Cotnainer zb mit --user=99:100 um nobody:users zu erzwingen. Bei dir wäre dann evtl die ID der AD-Gruppe die Lösung.

Das möchte ich eigentlich vermeiden.

Zumal dadurch sicherlich andere Probleme entstehen werden, da Nextcloud neben den beiden genannten Ordnern auch noch auf andere Unraid-Freigaben zugreift, aud die nicht von Windows aus zugegriffen wird.

 

2 hours ago, mgutt said:

Noch eine Idee wäre es bei Nextcloud einen AD User für die Einbindung des SMB External zu nutzen oder hast du das schon versucht?

Aktuell sind die Shares direkt im Nextcloud-Docker gemountet und dann über das External Storage Plugin als lokale Folder gemountet.

Eine Einbindung über SMB wäre da wahrscheinlich deutlich weniger Performant.

 

2 hours ago, mgutt said:

Man könnte über die SMB Config versuchen, dass alles der Gruppe users zugeordnet wird.

Wie müsste die SMB Config dann aussehen?

 

 

Das Problem das bei allen Varianten generell auftritt ist, dass ich für die Unraid-Freigaben nur eine Gruppe hinterlegen kann und dann in den Berechtigungen nur r, w, x für diese Gruppe oder eben alle anderen setzen kann.

Wenn die festgelegte Gruppe "users" ist, damit Nextcloud auf die Daten zugreifen kann, muss ich für "others" mindestens r und x setzen, damit die Windows-Freigabe für z.B. die Lehrer angezeigt wird. Dann können aber auch die Schüler die Freigabe einsehen. Und sowohl Schüler als auch Lehrer nur lesend zugreifen.

 

Da muss es doch irgendeinen Lösung geben...

 

Was ich auch schon probiert habe war die Gruppe auf "users" zu setzen und dann mit
 

setfacl -m "g:lehrer:rwx" /mnt/user/Lehrer/

die Lehrer als zweite Gruppe zu hinterlegen. Das hat aber wohl leider nicht funktioniert, denn auch nach der Anpassung hatten die Lehrer keinen Zugriff.

Link to comment
On 9/8/2022 at 12:39 PM, psychofaktory said:

Wie kann ich damit dann gleichzeitig eine Freigabe für Lehrer mit Schreibzugriff, für Schüler nur mit Lesezugriff und für Nextcloud mit Vollzugriff einrichten?

 

Was genau macht denn Unraid mit den SMB Configs, wenn man AD eingerichtet hat? Hat man dann in der Unraid GUI die Möglichkeit Gruppen bei den Shares einzustellen?

 

Würde ich das manuell machen, würde ich dem Share A die AD Gruppe Lehrer geben und dem Share B die AD Gruppen Lehrer und Schüler. Dann force group auf users, damit Nextcloud darauf zugreifen kann. 

Link to comment
39 minutes ago, mgutt said:

Was genau macht denn Unraid mit den SMB Configs, wenn man AD eingerichtet hat?

Das ist eine gute Frage. Was da genau im Hintergrund passiert kann ich leider nicht sagen.

 

53 minutes ago, mgutt said:

Hat man dann in der Unraid GUI die Möglichkeit Gruppen bei den Shares einzustellen?

Nein, leider gibt es offenbar keine Grafische Möglichkeit hier etwas anzupassen.

 

Was ich bisher in Erfahrung bringen konnte:

Über die GUI kann ersteinmal nur die AD-Anbindung durchgeführt werden.

Die Einstellungen für den SMB Benutzer Zugriff in den Freigabe-Einstellungen bleiben davon vollkommen unberührt. Dort lassen sich weiterhin nur die Zugriffsrechte für die Benutzer festlegen die über die Unraid eigene Benutzerverwaltung angelegt wurden.

In der Unraid-Benutzerverwaltung, sowie auch sonst tauchen die AD-Benutzer und Gruppen nirgends auf.

Die Einstellungen sind primär über einen Windows-Rechner innerhalb der Domäne vorzunehmen.

Der Benutzer der für den AD-join verwendet wurde hat auf die Unraid-Freigaben standardmäßig Vollzugriff und kann somit zur Vergabe der Berechtigungen verwendet werden.

Auf vorhandene Freigaben kann man dann den Besitz übernehmen und die Rechte wie gewünscht vergeben.

 

Nur funktioniert das eben leider nicht so wie es soll, da die UNIX-Berechtigungen hier noch mit reinspielen und in der Praxis wohl nur Mitglieder aus AD-Gruppen Zugriff haben, die auch in der Gruppe sind die als Unix-Gruppe angegeben wurde. Oder man vergibt mindestens die Rechte r-x für "Andere".

Somit ist selbst eine nur leicht komplexere Berechtigungsstruktur nicht möglich.

 

Unterm Strich muss ich aktuell die UNIX-Rechte 0777 setzen, damit ein Zugriff von Windows für die verschiedenen Gruppen aus möglich ist und gleichzeit vom Nextcloud-Docker aus.

Damit haben aber eben alle Vollzugriff. Auch die garkeinen, oder nur Lesezugriff haben sollen.

Wenn ich dann unter Windows die Sicherheits-Berechtigungen für "JEDER" entziehe, werden auch die UNIX-Rechte auf 0770 gesetzt. Somit hat dann wieder nur die festgelegte UNIX-Gruppe Zugriff. Im Beispiel also entweder Schüler, Lehrer, oder Nextcloud. Alle anderen sind jeweils außen vor.

Die Freigabe-Berechtigungen lassen sich von Windows aus übrigens nicht einstellen. Hier wird "JEDER" mit Vollzugriff angezeigt. Die Schaltflächen für Hinzufügen oder Entfernen sind ausgegraut.

 

49 minutes ago, mgutt said:

Würde ich das manuell machen, würde ich dem Share A die AD Gruppe Lehrer geben und dem Share B die AD Gruppen Lehrer und Schüler.

Wie kann ich denn dem Share mehrere Gruppen zuweisen?

Die Zuweisung mehrerer Gruppen in den Sicherheitseinstellungen von Windows aus funktioniert zwar, aber effektiv wird der Zugriff dann wieder unterbunden weil in den UNIX-Berechtigungen nur eine Gruppe hinterlegt werden kann. Und über setfacl mehrere Gruppen zuzuweisen hat wie bereits erwähnt leider auch nicht zum Ziel geführt.

 

51 minutes ago, mgutt said:

Dann force group auf users, damit Nextcloud darauf zugreifen kann. 

Wo wäre das einzustellen? in den SMB-Extras?

Wie müsste der Eintrag für Nextcloud dann aussehen?

Link to comment

Ich habe eine Anleitung gefunden:

https://www.linuxserver.io/blog/2015-07-20-how-to-active-directory-on-unraid-6

 

 

Der Autor bezieht sich dabei denke ich auf diesen Post:

https://forums.unraid.net/topic/39034-active-directory-permissions-in-unraid-6/#comment-380934

 

 

Denk beim Testen dran, dass du dich jedes mal mit "Lehrer" bzw "Schüler" in Windows abmeldest, wenn du die Rechte im AD änderst, ansonsten sind die Rechte evtl nicht aktuell.

Link to comment
52 minutes ago, mgutt said:

Nach dieser Anleitung bin ich bereits vorgegangen.

Die zu erwartenden Ergebnisse spiegeln leider nicht die die ich tatsächlich gesammelt hab.

In dem verlinkten Thread wird ja erwähnt, dass die UNIX-Berechtigungen egal wären. Es wurde "Domain Admins" gewählt. Wenn ich das so einstelle, dann haben auch nur Domain Admins Zugriff. Keine Lehrer, keine Schüler und Nextcloud auch nicht.

 

Die Anleitung ist mittlerweile mehr als 7 Jahre alt und bezieht sich auf eine gänzlich andere Unraid-Version, eine gänzlich andere Samba-Version, und vermutlich Server 2012R2 wenn ich die Screenshots so ansehe. Ich vermute hier hat sich einiges geändert.
Grundsätzlich wäre es aber wohl möglich so wie ich das gerne nutzen würde, oder war es zumindest mal.

 

 

Meine Gegebenheiten sind:

  • Unraid 6.10.3 (mit der standardmäßig dazu ausgelieferten Samba-Version 4.15.7)
  • Windows 2016 Standard (mit aktuellem Patch-Level)
  • Der Windows-Server ist gleichzeit Domänen-Controller
  • Der Zugriff auf die Freigaben von Windows aus erfolgt über SMB 3.1.1
  • Domänen-Funktionsebene 2016
  • Nextcloud-Docker in der aktuellen Version

 

52 minutes ago, mgutt said:

Denk beim Testen dran, dass du dich jedes mal mit "Lehrer" bzw "Schüler" in Windows abmeldest, wenn du die Rechte im AD änderst, ansonsten sind die Rechte evtl nicht aktuell.

Das habe ich bei den Anpassungen der Berechtigungen gemacht. Sogar mit Neustart.
Allerdings waren die Änderungen an den Berechtigungen (sowohl UNIX als auch Windows-Sicherheit) in weiteren Tests direkt live wirksam für meine Test-User. Daher gehe ich davon aus, dass das evtl. garnicht erforderlich wäre.

Im AD hatte ich aber auch keine Änderungen durchzuführen. Die User waren alle bereits in den Gruppen in denen sie sein sollten.
Anstatt der RO-Gruppe habe ich nur "Schueler" und anstatt der RW-Gruppe habe ich "Lehrer". Die User sind immer Gruppen zugewiesen und in den Sicherheitseinstellungen der Freigaben werden ausschließlich Berechtigungen für Gruppen erteilt. Nie für einzelne Benutzer.

 

Edited by psychofaktory
Link to comment
16 minutes ago, psychofaktory said:

Nach dieser Anleitung bin ich bereits vorgegangen.

 

Also dein 1. Beitrag zeigt das aber nicht. Das fängt schon damit an, dass du die Rechte der Shares in Linix geändert hast:

 

Quote

Mit Anwendung der Einstellung werden alle Freigaben unter /mnt/user mit dem Besitzer "Administrator", der Gruppe "domänen-admins" und den Rechten "rwxrwxrwx" versehen.

 

 

Das hier ist auch nicht korrekt:

Quote

Um das einzuschränken, ändere ich in Unraid die Gruppe für die Freigabe "Lehrer" auf die AD-Gruppe "Lehrer", sowie für die Freigabe "Schueler" auf die AD-Gruppe "Schüler". Die Rechte werden jeweils rekursiv auf "rwxrwx---" gesetzt.

 

Wieso setzt du in Unraid irgendwelche Rechte? Die Rechte aus dem AD werden ja über ACLs gesetzt. Nicht über die Linux-Standardrechte. Soll heißen: Auch hier alles auf nobody:users lassen und Windows die ACL-Rechte setzen lassen. Also deine Änderungen durch den User "Administrator" macht das dann automatisch.

 

Prüfen kannst du die jeweiligen ACL-Rechte so:

getfacl /mnt/user/Lehrer

 

Ohne AD/ACL sieht das zB so aus

# getfacl /mnt/user/Lehrer
getfacl: Removing leading '/' from absolute path names
# file: mnt/user/Lehrer
# owner: nobody
# group: users
user::rwx
group::rwx
other::rwx

 

aber sobald du im AD Rechte eingestellt hast, ist die Liste deutlich länger.

 

24 minutes ago, psychofaktory said:

Anstatt der RO-Gruppe habe ich nur "Schueler" und anstatt der RW-Gruppe habe ich "Lehrer"

Das solltest du dir abgewöhnen und stattdessen mit Share-bezogenen Gruppen arbeiten, wie im Beispiel vorgeschlagen. Das erlaubt später granularere Rechteverteilungen und du weißt ganz genau wo ein User welche Rechte hat und wo nicht. Mit der Angabe "Schüler" hast du später das Problem, dass du evtl nicht mehr weißt, bei welchen Shares du diese Gruppe zugeordnet hast.

 

Als erstes empfehle ich dir alle ACL-Rechte noch mal zu entfernen:

setfacl -bn -R /mnt/user/

 

Dann gehst du in Unraid hin und setzt wieder alles auf nobody:user über Tools > Docker Safe New Perms. Unraid führt dann ein rekursives chown aus, lässt aber den Ordner /mnt/user/appdata dabei außen vor, weil darin keine Rechte geändert werden dürfen.

 

Und nun erstellst du share-bezogene RW und RO Gruppen und prüfst danach mal die ACLs.

Link to comment
5 minutes ago, mgutt said:

Wieso setzt du in Unraid irgendwelche Rechte? Die Rechte aus dem AD werden ja über ACLs gesetzt. Nicht über die Linux-Standardrechte. Soll heißen: Auch hier alles auf nobody:users lassen und Windows die ACL-Rechte setzen lassen. Also deine Änderungen durch den User "Administrator" macht das dann automatisch.

Ursprünglich bin ich nach der verlinkten Anleitung von Linuxserver.io vorgegangen.

Dabei habe ich die ACLs auch wie dort beschrieben rein von Windows aus gesetzt.

Das war aber so zu Beginn garnicht möglich, da "nobody" Besitzer war. Daher musste ich erst die Besitzrechte übernehmen.

 

Dann war mir aufgefallen, dass mit dem Domänen-join die UNIX-Gruppe von "users" zu "Domain Admins" gewechselt wurde.

Das war grundsätzlich für mich kein Problem. Als ich dann aber festgestellt hatte, dass jeder Zugriff auf die Freigaben hatte, habe ich über Windows die ACL "JEDER" entfernt.

Damit wurde dann unter Unraid die UNIX-Berechtigung für "andere" ebenfalls entfernt (0777 zu 0770). In der Folge hatte ich von der Nextcloud aus keinen Zugriff mehr.

 

Erst ab hier habe ich dann versucht die Berechtigungen von Unraid aus zum Test anzupassen um verschiedene Konstellationen auszuprobieren und auch um zu verstehen wie die Zusammenhänge aussehen und was im Hintergrund abläuft wenn Berechtigungen geändert werden.

 

14 minutes ago, mgutt said:

Als erstes empfehle ich dir alle ACL-Rechte noch mal zu entfernen:

setfacl -bn -R /mnt/user/

Das hatte ich zwischen den Versuchen auch immer wieder gemacht um immer wieder von einer einheitlichen Basis ausgehen zu können.

 

Nichts desto trotz werde ich die von Dir empfohlene Vorgehensweise morgen 1:1 so nochmal umsetzen und dann testen und berichten.

Danke schon mal für Deine Hilfe!

Link to comment

Ich bin jetzt wie folgt vorgegangen:

Als erstes habe ich die ACLs zurückgesetzt.

setfacl -bn -R /mnt/user/

Dann über Tools > Docker Safe New Perms die Standard-Unix-Berechtigungen wiederhergestellt.

Anschließend wollte ich unter Windows die Sicherheits-Berechtigungen für die Freigabe "Lehrer" wie gewünscht setzen.
Zu dem Zeitpunkt haben die Prizipale "nobody", "users" und "Jeder" Vollzugriff.
"Nobody" ist der Besitzer, was laut dem verlinkten Thread bzw. der Linuxserver-Anleitung wohl nicht so sein sollte.


Nobody und Users hätte ich jetzt unangetastet in den Sicherheits-Berechtigungendort belassen, da die ja offensichtlich für die Nextcloud benötigt werden.
Jetzt wollte ich also "Jeder" entfernen, und die Gruppe "Lehrer" mit Vollzugriff hinzufügen (nur Ändern wird ja von Unraid nicht unterstützt, bzw. automatisch auf Vollzugriff geändert).
Beim Versuch zu Übernehmen heißt es dann aber "Sie müssen Administratorenberechtigungen angeben, um diese Attribute zu ändern". Aber auch mit Administratorenberechtigungen wird der Zugriff verweigert.

 

Obwohl ich als "Administrator" nicht der Besitzer der Freigabe bin, und der Zugriff verweigert wurde, wurde "Jeder" dennoch aus den Sicherheitsprinzipialen entfernt.
Damit verliere ich allerdings auch selbst den Zugriff auf die Freigabe.

Somit bleibt mir also nur die Besitzübernahme der Freigabe.
Von Windows aus wird mir das jedoch ebenfalls verweigert.
Also setze ich "Administrator" über die Unix-Berechtigungen als Besitzer und erhalte somit wieder Zugriff und kann jetzt auch die gewünschten Berechtigungen vergeben.

 

Dann der Test:
Weder mit einem Mitglied der Gruppe "Lehrer", noch einem Mitglied der Gruppe "Schüler" kann auf die Freigabe zugegriffen werden.
Nextcloud hat weiterhin Schreibrechte in dem Verzeichnis.

 


Das Ergebnis stellt so ziemlich genau meinen Ausgangszustand dar bevor ich den Thread hier eröffnet hab.
Die bis dahin gesammelten Erkenntnisse hatten mich dazu veranlasst dann zum Test die Unix-Gruppe "users" zu entfernen und dafür die Gruppe "Lehrer" hinzuzufügen.

Die Lehrer konnten jetzt auf die Freigabe zugreifen, aber für Schüler sowie die Nextcloud war ein Zugriff nicht mehr möglich.
Daher entstand meine Vermutung, nur Mitglieder der explizit angegebenen Unix-Gruppe haben Zugriff auf die Freigabe.


Wenn ich das aus der Linuxserver-Anleitung bzw. dem Thread von 2015 richtig lese, dann war meine Vorgehensweise wohl grundsätzlich nicht verkehrt. Nur sollte eben eigentlich ein Zugriff auf die Freigabe möglich sein, sobald die ACLs unter Windows korrekt gesetzt wurden. An anderen Stellen sollte garnicht angesetzt werden müssen. Auch nicht zur Besitzübernahme.

 

Wo liegt hier also der Fehler?
Und wie wäre es richtig zu machen?

Link to comment
12 minutes ago, mgutt said:

Wie sehen denn die ACLs des Lehrer-Shares aus?

 

getfacl /mnt/user/Lehrer
getfacl: Removing leading '/' from absolute path names
# file: mnt/user/Lehrer
# owner: administrator
# group: users
user::rwx
user:lehrer:rwx
user:scan:r-x
group::rwx
group:users:rwx
group:administrator:rwx
group:lehrer:rwx
group:scan:r-x
mask::rwx
other::---
default:user::rwx
default:user:administrator:rwx
default:user:lehrer:rwx
default:group::---
default:group:users:---
default:group:administrator:rwx
default:group:lehrer:rwx
default:mask::rwx
default:other::---

 

Link to comment
getfacl /mnt/user/Schueler
getfacl: Removing leading '/' from absolute path names
# file: mnt/user/Schueler
# owner: administrator
# group: users
user::rwx
user:lehrer:r-x
user:schüler:r-x
group::rwx
group:users:rwx
group:administrator:rwx
group:lehrer:r-x
group:schüler:r-x
mask::rwx
other::---

 

Auch hier gleiches Verhalten.

Weder Lehrer noch Schüler haben Zugriff auf die Freigabe. Nextcloud schon.

 

Die Mitgliedsverhältnisse sehen so aus, dass alle Schüler Mitglied der Gruppe "Schüler" sind und alle Lehrer Mitglied der Gruppe "Lehrer". Scan ist ein eigenständiger Benutzer der keiner der beiden Gruppen angehört.

Ich habe bei dem letzten Test bewusst noch nicht mit Share bezogenen rw-/ro-Gruppen gearbeitet, um die Struktur hier einfach zu halten und damit die Übersicht hier im Thread nicht verloren geht. Rein funktionell sollte es ja keinen Unterschied machen.

Link to comment
  • 2 months later...

Moin, 

 

ich komme aus irgendwelche Gründen nicht mehr auf meine SMB Shares. Ich habe Unraid in eine AD Domain gejoint. Was auch problemlos funktionierte und von jetzt auf gleich komme ich nicht mehr auf die SMB Shares. Im log habe ich den Fehler gefunden. Hat jemand eine Idee woran das liegen könnte, bzw hatte auch schon das Poblem 

 

unraid check_winbind_security: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS

 

Mit einem neustart funktioniert das eine ganze Weile. 


Gruß

Marhal

Link to comment
  • 4 weeks later...

Hallo, ich kann nicht mehr auf mein SMB Share zugreifen, von Heut auf Morgen. Wenn ich im Unraid Log schaue kommt folgende Fehlermeldung. 

Hat jemand schon das Problem gehabt. Ich habe den Unraid Server in eine Domain Umgebung eingestellt. Es lief jetzt auch 3-4 Woche gut. Bis ich mich heute Morgen einloggen wollte.

 

Quote

Jan 3 11:27:29 morton smbd[30469]: [2023/01/03 11:27:29.158355, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30469]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx]) Jan 3 11:27:29 morton smbd[30470]: [2023/01/03 11:27:29.168170, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30470]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx]) Jan 3 11:27:29 morton smbd[30471]: [2023/01/03 11:27:29.177738, 0] ../../source3/auth/auth_util.c:1927(check_account) Jan 3 11:27:29 morton smbd[30471]: check_account: Failed to convert SID S-1-5-21-1432254238-1285569654-3032919472-1139 to a UID (dom_user[INTERN\xxx])

 

Die User habe ich mit XXX ersetzt. Ich habe auch den rc.samba neugestartet und auch den CLient neu gestartet.

 

Gruß

Marhal

Link to comment
  • mgutt changed the title to Alles rund um Active Directory (AD, Domäne, ACL, etc)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.