Ausgangslage
Von der QNAP Oberfläche war ich es gewohnt, verschiedene Gruppen für den Schreib- und den Lesezugriff zu definieren, welche im Active Directory gepflegt werden. So ist ein einheitlicher Datenstand bei allen Zugriffen möglich und auch die Kennwort-Verwaltung schrumpft auf eine zentrale Stelle, wo diese bearbeitet werden.
Meine Gruppen haben dieses Format:
rechner-freigabe_WRITE bzw. rechner-freigabe_READ
Standardmäßig ist es in der FreeNAS Verwaltung nicht möglich, dies umzusetzen. Daher muss man die Freigaben mit getfacl und setfacl umsetzen.
Domänen-Gruppen anzeigen
Das Anzeigeformat der Gruppen aus dem Active Directory ist gleich was das Schema unter Windows Rechnern: Domäne\Gruppe. Stellt für die Rechtevergabe im FreeNAS kein Problem dar, wohl aber mit der erweiterten. So bricht jeder Aufruf von getfacl mit einer Fehlermeldung ab und zeigt nur den Eintrag bis zum Backslash an.
Hier kommt der winbind separator ins Spiel. Mit dem Eintrag winbind separator=+
, beschrieben in meinem vorherigen Beitrag, ändert man dieses Verhalten auf Domäne+Gruppe. Jetzt können wir an die erweitere Rechtevergabe gehen.
setfacl
setfacl zeigt die Berechtigungen an, die bisher gesetzt wurden.
# file: data
# owner: root
# group: wheel
group:HPZHOME+nas-archiv_read:r-x-----------:------:allow
group:HPZHOME+filer-archiv_write:rwxp----------:fd----:allow
owner@:rwxp--aARWcCos:------:allow
group@:------a-R-c--s:------:allow
everyone@:------a-R-c--s:------:allow
Was bedeutet das?
Hier zwei Beispiele:
setfacl -m g:HPZHOME+nas-iso_read:r-x---------:fd-----:allow ISO
Beim ersten Beispiel geht es um den Lesezugriff für die Freigabe ISO: Die Gruppe HPZHOME+nas-iso_read bekommt Lese- und Ausführzugriff (r-x) und dies soll auch in alle Unterordner durchgeschrieben werden (fd).
setfacl -m g:HPZHOME+nas-iso_write:rwxp--------:fd-----:allow ISO
Bei diesem Beispiel wird der Gruppe HPZHOME+nas-iso_write voller Zugriff auf alle Dateien (rwx), desweiteren können auch neue Ordner angelegt werden (p). Natürlich soll es auch in alle Unterordner durchgeschrieben werden (fd).
Wenn bei den Auflistung der Dateien nach den Berechtigungen ein + dabeisteht, ist die erweiterte Rechtevergabe aktiviert.
drwxr-xr-x 5 root wheel 5 Sep 24 20:26 ./
drwxr-xr-x 7 root wheel 7 Sep 24 20:32 ../
drwx------+ 3 root wheel 3 Sep 24 20:22 ISO/