Zusammenspiel Apache/Samba/Windows ACL!?
Hallo,
ich brauch hier mal Hilfe. Und zwar habe ich hier einen
Windows2k3Server, der als Fileserver dient. Nun soll alle Altdaten
(Daten, die z.B. seit 2 Jahren nicht benutzt wurden) , wegen Kapazitäts-
und nahenden Backup-Problemen ausgelagert werden. Dieses
"Datenverzeichnis", besteht aus mehreren Verzeichnissen und zahlreichen
Unterverzeichnissen, auf die verschiedene Berechtigungen gesetzt sind.
Es handelt sich um ca 200 Verzeichnisse, verteilt auf bis zu 5
Unterverzeichnissen und Ziel des ganzen ist eine Authentifizierung
gegenüber dem AD und die Übernahme des Berechtigungsmodells, so wie es
im Fileserver realisiert ist.
z.B.:
Postfach <---jeder schreiben
Transfer <---Admins/Sekr. schreiben, jeder lesen
Briefe <--- Admin w, jeder lesen
Abt1 <--- Admin schreiben + Gruppe Abt1 ändern
Chef <--- Admin + Chef schreiben
........
Abt 2 <--- Admin schreiben + Gruppe Abt1 ändern
Users <---- Admin schreiben, jeder lesen
User1 <--- Admin + User1 schreiben
User2 <----Admin + User schreiben
...etc....
Anforderungen:
- Autenthifizierung: nur Domänen-Benutzer dürfen zugreifen
- Berechtigungen müssen stimmen: Diese FS-Berechtigungen sollen erhalten
bleiben
- Intransparenz: Das ganze "Archiv", wo diese Aktdaten abgelegt werden,
soll sich optisch/bedientechnisch vom Fileserver oder der normalen
Umgebung unterscheiden, sodass sich die User bewusst sind, dass sie im
Archiv arbeiten - soll sich quasi abheben vom Rest.
Da das Archiv nicht so stark frequentiert wird und ich hier sowieso noch
ne Maschine rumstehen hab, die ansonsten fast nur "Däumchen dreht" habe
ich mir gedacht, dass sich doch was basteln ließe.
Ich habe mir gedacht, dass ich mir die "Altdaten" vom Fileserver per
Samba besorge. Wenn man den ACL-Support aktiviert werden die
"Windows-Berechtigungen" mitkopiert und Winbind mappt ja sozusagen die
Windows-User und ~Gruppen. Unters Volk streuen wollte ich diese dann per
Apache und irgendnem GUI, sodass sich User Files aus dem Archiv kopieren
können etc (quixplorer etc....).
Diese Windows-Berechtigungen sind doch nur Samba bekannt, oder? Soweit
ich weiß kennt mein EXT3 leider kein ändern, Ordnerinhalt auflisten
etc.... :-) Aber das ist nicht wirklich nötig - ich müsste an sich nur
den Zugang zu Ordnern regeln können - so ala "darf rein und darf nicht
rein - mehrer Benutzer lesen schreiben, auch aus verschiedenen Gruppen,
aber nicht alle lesen" - kann man das irgendwie abbilden gegenüber Linux?
Was ich bis jetzt habe:
- Autenthifizierung gegen über AD mittels Apache-Modul mod_auth_ldap
- Intransparenz: momentan eher zweitrangig, da mir die "Technik" grad
noch unklar erscheint!? Aber da gibts einiges soweit ich gesehen hab.
Berechtigungen kann man im Apache entweder einzeln über die .htaccess-
Dateien regeln oder global über default in sites-enabled. Funktioniert
soweit auch, nur scheint mir, dass das bei 200 Verzeichnissen nicht
gerade ein "Königsweg" ist, wenn man diese händisch einpflegt zudem
scheint mir dass sehr fehleranfällig.
Was mir grad nur noch einfallen würde wäre:
-Textfile schreiben, indem alle Ordner samt Berechtigungen abgebildet
sind (unter Windows mittels cacls oder xcacls)
- Textfile schreiben, in dem alle User und Gruppen samt LDAP-Struktur
abgebildet sind (unter windows zB ldifde)
- Linux-Script, dass für die Ordner samt Berechtigungen die
LDAP-Struktur (sieht etwa so aus " require group
CN=ADMIN,CN=Users,DC=mydomain,DC=com") aus beiden Files zusammenschreibt
-Perl/SED-Script, dass mir dann ne hübsche /sites-enabled/default bastelt
:-)
Das wäre das einzige was mir dazu noch einfällt..
Meine Frage:
Jemand eine komplett andere Idee - geht das evtl viel leichter? Seh ich
vielleicht vor lauter Bäumen den Wald nimma?
Gibt es evtl ein Apache Modul, dass dieses bewerkstelligt? kann man
nicht noch was basteln - pam etc...?
Kann man diese Berechtigungen irgendwie auf ein LINUX-FS abbilden
(mehrer Benutzer lesen schreiben, auch aus verschiedenen Gruppen, aber
nicht alle lesen) XFS & Co?
Irgendjemand Erfahrung oder ne Idee - bin über jede kreative Idee dankbar.
Grüße
Thomas Halinka
___________________________________________________________
Telefonate ohne weitere Kosten vom PC zum PC: http://messenger.yahoo.de
Reply to: