Re: Debian als Client an Samba-Domäne

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Martin,

Am 06.08.2011 21:14, schrieb Martin Reising:
> On Sat, Aug 06, 2011 at 08:04:31PM +0200, Hans-Dietrich Kirmse wrote:
> > Am 06.08.2011 18:19, schrieb Martin Reising:
> > > Uih, NFS und ACL, das wird ggf. spannend.
> >
> > Verträgt sich NFS und ACLs nicht? Ist mir eigentlich neu.
>
> Du mußt anscheinend an deinem Google-Foo arbeiten. Ich habe nur nach
>
> linux nfs acl
>
> gesucht und fand die Hinweise auf NFSv4 eindringlich genug. Ist ja
> nicht so das NFSv4 erst seit 1 oder 2 Jahre mit Linux funktioniert.

das NFS4 besser ist, dass weiss ich auch, aber ich bin Linux-Laie und 
betreue trotzdem in meiner Freizeit und ohne irgendwelche Bezahlung oder 
Abminderungsstunden etc. einen Linux-Server, aber eben nur mit 
Windows-Clients. Wenn jetzt der Wunsch bzgl. Linux-Clients an mich 
herangetragen wurde und ich möchte diesen Wunsch gerecht werden, dann 
muss ich das auch in meiner (Frei-)Zeit schaffen. - ich hatte einfach 
gehofft, hier das KnowHow dieser Liste nutzen zu können. Diese Manie auf 
Man-Pages und Google zu verweisen - ach vergiss es ...

> > Beispiel: die Homeverzeichnisse der User sollen nur
> > für den User und die Gruppe 'fachl' einzusehen sein, also erhalten
> > die Schülerhomes die Besitzer und Rechte<user>.fachl 770. Nun muss
> > aber der Apache auch zugreifen können, weil ja die
> > html_public-Verzeichnisse in den Homeverzeichnissen liegen. Statt
> > nun Leserecht für other zu geben, bekommt nur der Apache (www-data)
> > über eine ACL das Recht, in die Homeverzeichnisse zu kommen.
>
> Was spricht gegen 771 (ug+rwx,o+x), statt 770?

dann kommt jeder in das Homeverzeichnis und wenn er die Dateinamen 
kennt, dann kann er auf die Datei zugreifen. Er muss eben nur "blind" 
zugreifen, aber m.E. kann er das mit dieser Einstellung.  - oder etwa nicht?

> > > Mit ACL landet man bei NFSv4 und muß sich mit dem "security model"
> > > außereinader setzen.
> >
> > verstehe ich nicht.
>
> NFSv4 kann jetzt Kerberos für die Authentifizierung verwenden, ist auf
> den Heise Seiten recht verständlich beschrieben; IMHO.

du hast dich schon mal mit Kerberos beschäftigt und weisst wirklich, was 
da auf einen zukommt?

> > > Dann hat allerdings das 16 Gruppen-Limit nicht
> > > mehr und eventuell ist auch die Zickerei von openoffice nicht mehr
> > > vorhanden.
> >
> > was ist das 16 Gruppen-Limit? (wir haben nur 4 Hauptgruppen)
>
> NFS vor Version 4 kann nur die ersten 16 Gruppen des Benutzer
> verwenden. Mit ausufernder Gruppenvergabe und den lokalen Gruppen wie
> audio, video, cdrom, floppy, scanner, plugdev und saned (nein, die
> werden nicht immer alle benötigt) hat man dann ein Problem.

okay, habe ich schonmal gelesen, war mir aber entfallen. Wird aber für 
uns nicht relevant sein.

> > ich habe zwar schonwas von autofs gehört - aber davon keine Ahnung.
> > Das muss sicher auf dem client eingerichtet werden - kannst du
> > erklären wie das geht? Oder kennst du eine verständliche Anleitung?
>
> google hat mir für linux autofs unter anderem
>
> http://selflinux.org/selflinux/html/autofs02.html
>
> geliefert. Wie gesagt dein Google-Foo hat noch großes optimierungs
> Potential.

diese Seite habe ich inzwischen gefunden. du warst nur schneller mit der 
Antwort.

> > wir haben derzeit nur einen NFSv3-Server. Und da hier doch wegen
> > Samba/CIFS erstmal die Nase gerümpft wurde,
>
> Warum sollte man Linuxsystem mit einem Windowsprotokoll verbinden,
> wenn es eine gut abgehangene Unixalternative gibt?

nicht alles was von Windows-Seite kommt ist automatisch schlecht. 
Immerhin beherscht CIFS die Authentifizierung, was NFSv3 nicht kann, 
insofern ist NFSv3 wirklich "abgehangen". Aber wir haben noch keinen 
NFSv4-Server. ...

> Es funktioniert mit NFS, allerdings kommen von dir in fast jeder
> E-Mail neu Rahmenbedingungen, und das führt dann zwangsläufig zu
> komplexeren Konfigurationen.

nein, es kommen keine neuen Rahmenbedingungen. Ich habe von Anfang an 
gesagt, dass die Forderung so ist, dass sich der Linux-Client sich nicht 
hinter dem Windows-Client verstecken soll. Und was der Windows-Client 
kann habe ich m.E. ausführlich dargestellt (nicht erst nach und nach)

Richtig ist auch, dass ich nicht abschätzen konnte, was da auf mich 
zukommt, deswegen ja meine Nachfrage. Und ich habe nie Zweifel daran 
gelassen, dass ich noch nie einen Linux-Client für einen/unseren Server 
aufgesetzt habe, also da ein Laie bin. Das man sich im Verlauf des 
Threads die Standpunkte ändert ist doch wohl normal - es wäre schlimm, 
wenn es nicht so wäre.

> Bei deinem Kenntnisstand solltest du dich intensiver in das Thema
> Unixdateisysteme einarbeiten, denn Teilsätze wie

Danke. Also: nur Experten dürfen hier Hilfe erwarten. - Super!

> > ohne sich erst durch Hunderte von Home-Verzeichnissen durchhangeln zu
> > müssen.
>
> mehren bei mir die Zweifel ob du dir über Möglichkeiten und Grenzen
> selbiger im klaren bist. So lange das der Fall ist, ist es sinnlos
> sich über Konfiguration und deren Vor- und Nachteilen aus zu tauschen.

Also nur Experten dürfen sich in dieser Liste austauschen. - Supersuper!

> > Dieses Randgruppenbetriebssystem ist hier einfach nur der Maßstab -
> > nicht mehr, aber auch nicht weniger.
>
> Mit "hier" meinst du aber deinen Problembereich

natürlich habe ich mich mit meinem Problembereich hier gemeldet. Es ging 
ganz und gar nicht um etwas Abstraktes

> und nicht diese Liste, oder gar mein Umfeld.

oder diese Liste oder gar dein Umfeld.

> > Und ich hoffe immernoch darauf, dass es hier zum Einrichten eines
> > Clients (der sich vor einem Windows-Client nicht verstecken muss)
> > Vorschläge und Hinweise kommen.
>
> Wie schon oben geschrieben, ohne ausreichende Grundlagen ist das Ganze
> zum Scheitern verurteilt und sorgt auf allen Seiten nur für Frust.

ich wollte nichts weiter als ein Konzept für einen Linux-Client. Mir ist 
inzwischen hinreichend klar, wie der erstellt werden kann, dass der die 
genannten Anforderungen erfüllt.

Dass das nicht mein eigentliches Ziel (sondern nur eine Vorstufe) war, 
kannst du dir sicher denken. Natürlich soll die Konfiguration, will 
sagen Anbindung an den Server, möglichst einfach geschehen - das 
bedeutet für mich scriptgesteuert. Damit dürfte klar sein, was ich 
eigentlich will: in unser Repository ein (Debian-)Paket ablegen, was 
dieses Konfiguration übernimmt. Dann wird das für den Admin so ablaufen: 
er trägt in in die sources.list unser Repo ein, spielt über apt bzw. 
aptitude dieses Paket ein und das war's. Aber um so ein Paket zu bauen, 
brauche ich eine Anleitung. Und um eine solche zu erstellen, brauche ich 
ein Konzept, was ich nun habe.

Wenn du Frust hast, dann tut mir das leid. Ich habe keinen Frust. Im 
Gegenteil, ich bedanke mich besonders bei denen die geantwortet haben 
für ihre Hinweise und bei allen für's mitdenken.

Viele Grüße
Hans-Dietrich