[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian als Client an Samba-Domäne

Hallo Martin,

Am 06.08.2011 18:19, schrieb Martin Reising:

On Sat, Aug 06, 2011 at 02:21:05PM +0200, Hans-Dietrich Kirmse wrote:


Das die Lehrer auch auf die Schülerverzeichnisse zugreifen können, wird
über ACLs geregelt.


Uih, NFS und ACL, das wird ggf. spannend.


Verträgt sich NFS und ACLs nicht? Ist mir eigentlich neu.


Ich mag ACL nicht, da mir bei ls -l die Übersichtlichkeit fehlt. Ich
versuche allerdings auch komplizierte Zugriffbrechtigungen von Anfang
an aus zu schließen.
Wir setzen schon seit ca. 6 (oder mehr) Jahren auf dem Arktur 3.5 bzw. Arktur 4 ACLs ein, weil sich damit die Sicherheit deutlich steigern läßt. Beispiel: die Homeverzeichnisse der User sollen nur für den User und die Gruppe 'fachl' einzusehen sein, also erhalten die Schülerhomes die Besitzer und Rechte <user>.fachl 770. Nun muss aber der Apache auch zugreifen können, weil ja die html_public-Verzeichnisse in den Homeverzeichnissen liegen. Statt nun Leserecht für other zu geben, bekommt nur der Apache (www-data) über eine ACL das Recht, in die Homeverzeichnisse zu kommen. Die einzige genauso sichere Alternative wäre, das html_public-Verzeichnis aus den Homeverzeichnissen auszulagern, was aber bei weitem nicht so einfach zu händeln ist und keinen zusätzlichen Sicherheitsgewinn bringt. - d.h. hier sind ACLs einfach das naheliegende Mittel. Und was ist daran kompliziert? Doku (für Lehrer): 
  http://arktur.schul-netz.de/wiki/index.php/Administratorhandbuch:ACL


Mit ACL landet man bei NFSv4 und muß sich mit dem "security model"
außereinader setzen.
verstehe ich nicht. Mein Problem: die Einrichtung mit den ACLs auf den aktuellen Server habe ich genauso verzapft wie die Seite zu den ACLs bei Arktur 3.5 (die gerade angegeben Seite ist nur wenig modifiziert). Aber ich weiss nicht, was du mit dem "security model" meinst - ACLs steigern normalerweise die Sicherheit, weil der Zugriff viel feingranualer gesteuert werden kann. 


Dann hat allerdings das 16 Gruppen-Limit nicht
mehr und eventuell ist auch die Zickerei von openoffice nicht mehr
vorhanden.


was ist das 16 Gruppen-Limit? (wir haben nur 4 Hauptgruppen)



http://www.heise.de/netze/artikel/Das-Netzwerk-Dateisystem-NFSv4-221577.html
http://www.heise.de/netze/artikel/NFSv4-unter-Linux-221582.html


und wie richtet man das als Admin ein, dass der User, egal ob
Schüler oder Lehrer, diese (und möglichst nur diese) Laufwerke /
Verzeichnisse zur Verfügung hat?


autofs5: /etc/auto.master
ich habe zwar schonwas von autofs gehört - aber davon keine Ahnung. Das muss sicher auf dem client eingerichtet werden - kannst du erklären wie das geht? Oder kennst du eine verständliche Anleitung? 



Aber wie der Zugriff auf den Fileserver eingerichtet wird (oder
anders gesagt, die Laufwerke simuliert werden können), das ist mir
als Einziges noch nicht klar bzw. habe noch nichtmal einen Ansatz.


NFSv4 oder CIFS.
wir haben derzeit nur einen NFSv3-Server. Und da hier doch wegen Samba/CIFS erstmal die Nase gerümpft wurde, gehe ich davon aus, dass es bei einer Samba/CIFS-Lösung zumindest Akzeptanz-Probleme geben könnte. Aber wenn es mit NFS nicht geht, dann sollte es mit Samba/CIFS angegangen werden. 


Vergiß das mit den Laufwerken, das ist selbst unter
Windows ein "nicht Tot zu kriegender Anachronismus";
Nochmal: ich will keineswegs Laufwerke, sondern ich möchte eine Lösung, die das Gleiche ermöglicht und zudem _mindestens_ genauso komfortabel. D.h. es sollte vom Admin eingerichtet werden (also von mir) und sollte dann ohne Zutun des Nutzers ablaufen und es sollte ebenso der Zugriff möglich sein, ohne sich erst durch Hunderte von Home-Verzeichnissen durchhangeln zu müssen. 


oder wird das
mittlerweile wieder von Moft propagiert? Ich kenn mich mit dem
Randgruppenbetriebsystem so gar nicht aus.
Es ging nur um die Beschreibung der Anforderungen. Dieses Randgruppenbetriebssystem ist hier einfach nur der Maßstab - nicht mehr, aber auch nicht weniger.
Und ich hoffe immernoch darauf, dass es hier zum Einrichten eines Clients (der sich vor einem Windows-Client nicht verstecken muss) Vorschläge und Hinweise kommen. 

Viele Grüße
Hans-Dietrich
Reply to: