Ausgangslage

Von der QNAP Oberfläche war ich es gewohnt, verschiedene Gruppen für den Schreib- und den Lesezugriff zu definieren, welche im Active Directory gepflegt werden. So ist ein einheitlicher Datenstand bei allen Zugriffen möglich und auch die Kennwort-Verwaltung schrumpft auf eine zentrale Stelle, wo diese bearbeitet werden.

Meine Gruppen haben dieses Format:

rechner-freigabe_WRITE bzw. rechner-freigabe_READ

Standardmäßig ist es in der FreeNAS Verwaltung nicht möglich, dies umzusetzen. Daher muss man die Freigaben mit getfacl und setfacl umsetzen.

Domänen-Gruppen anzeigen

Das Anzeigeformat der Gruppen aus dem Active Directory ist gleich was das Schema unter Windows Rechnern: Domäne\Gruppe. Stellt für die Rechtevergabe im FreeNAS kein Problem dar, wohl aber mit der erweiterten. So bricht jeder Aufruf von getfacl mit einer Fehlermeldung ab und zeigt nur den Eintrag bis zum Backslash an.

Hier kommt der winbind separator ins Spiel. Mit dem Eintrag winbind separator=+, beschrieben in meinem vorherigen Beitrag, ändert man dieses Verhalten auf Domäne+Gruppe. Jetzt können wir an die erweitere Rechtevergabe gehen.

setfacl

setfacl zeigt die Berechtigungen an, die bisher gesetzt wurden.

# file: data
# owner: root
# group: wheel
group:HPZHOME+nas-archiv_read:r-x-----------:------:allow
group:HPZHOME+filer-archiv_write:rwxp----------:fd----:allow
owner@:rwxp--aARWcCos:------:allow
group@:------a-R-c--s:------:allow
everyone@:------a-R-c--s:------:allow

Was bedeutet das?
Rechtevergabe

Hier zwei Beispiele:

setfacl -m g:HPZHOME+nas-iso_read:r-x---------:fd-----:allow ISO

Beim ersten Beispiel geht es um den Lesezugriff für die Freigabe ISO: Die Gruppe HPZHOME+nas-iso_read bekommt Lese- und Ausführzugriff (r-x) und dies soll auch in alle Unterordner durchgeschrieben werden (fd).

setfacl -m g:HPZHOME+nas-iso_write:rwxp--------:fd-----:allow ISO

Bei diesem Beispiel wird der Gruppe HPZHOME+nas-iso_write voller Zugriff auf alle Dateien (rwx), desweiteren können auch neue Ordner angelegt werden (p). Natürlich soll es auch in alle Unterordner durchgeschrieben werden (fd).

Wenn bei den Auflistung der Dateien nach den Berechtigungen ein + dabeisteht, ist die erweiterte Rechtevergabe aktiviert.

drwxr-xr-x  5 root  wheel  5 Sep 24 20:26 ./
drwxr-xr-x  7 root  wheel  7 Sep 24 20:32 ../
drwx------+ 3 root  wheel  3 Sep 24 20:22 ISO/