8.7. Freigaben Modul

Deployment — Kubernetes & UCS Appliance

Das Freigaben Verwaltungsmodul erscheint in beiden Implementierungen. Allerdings verwenden es Administratoren meist im Zusammenhang mit der UCS Appliance und ihren Netzwerkverwaltungsfähigkeiten.

Nubus bietet das Freigaben Verwaltungsmodul an, um Dateifreigaben mittels Samba und NFS in der UCS Appliance zu verwalten.

Das Freigaben Verwaltungsmodul finden Sie in der Kategorie Domäne der Management UI. Um eine Freigabe hinzuzufügen, klicken Sie Hinzufügen im Freigaben Verwaltungsmodul. Abb. 8.6 zeigt den Reiter Allgemein mit den Grundeinstellungen für eine Dateifreigabe. Das Freigaben Verwaltungsmodul hat die folgenden Reiter:

• Reiter Allgemein - Freigabenverwaltung

• Reiter NFS - Freigabenverwaltung

• Reiter Samba - Freigabenverwaltung

• Reiter Optionen - Freigabenverwaltung

Dieser Abschnitt enthält eine Referenz für die Felder, die im Freigaben Verwaltungsmodul verwendet werden.

Abb. 8.6 Allgemeine Einstellungen für Dateifreigaben im Freigaben Verwaltungsmodul

Packaged Service — nur verfügbar für die UCS Appliance

Ein paketierter Dienst, der Informationen aus dem Freigaben Verwaltungsmodul verwendet, ist nur für die UCS Appliance verfügbar. Sie können die Informationen auch in der Kubernetes Installation verwalten. Die UCS Appliance nutzt NFS und Samba für die Bereitstellung von Dateifreigaben.

Wenn Sie eine Freigabe hinzufügen, bearbeiten oder löschen, ändert Nubus direkt die Konfigurationsdatei /etc/exports für NFS und die Samba-Konfiguration, abhängig von den resultierenden Auswirkungen der Änderung.

8.7.1. Reiter Allgemein - Freigabenverwaltung

Dieser Abschnitt enthält eine Referenz für den Reiter Allgemein im Freigaben Verwaltungsmodul.

Name

Der Name der Freigabe. Er kann Buchstaben, Ziffern, Punkte oder Leerzeichen enthalten. Er muss mit einem Buchstaben oder einer Ziffer beginnen und enden.

Kommentar

Ein freier Kommentar für diese Freigabe, zum Beispiel zur Beschreibung ihres Zwecks. Der Dateibrowser in Microsoft Windows zeigt den Kommentar für die Freigabe an.

Server

Das UCS-System, auf dem sich die Freigabe befindet. Sie können jeden der UCS Directory Nodes und Managed Nodes auswählen, die im Verzeichnisdienst für die Domain aufgelistet und Teil der DNS Forward Lookup Zone sind.

Pfad

Der absolute Pfad des Verzeichnisses auf dem Server, das Sie für die Freigabe nutzen möchten. Verwenden Sie keine Fragezeichen oder Sonderzeichen im absoluten Pfad, wie beispielsweise Leerzeichen.

Wenn das Verzeichnis nicht existiert, erstellt das als Server ausgewählte UCS Appliance System es automatisch. Nubus erlaubt kein Erstellen von Freigaben oder das Verschieben von Dateien in die folgenden Verzeichnisse:

• /proc

• /tmp

• /root

• /dev

• /sys

Packaged Service — nur verfügbar für die UCS Appliance

Wenn die UCR-Variable listener/shares/rename den Wert yes hat, verschiebt die UCS Appliance den Inhalt des bestehenden Verzeichnisses, falls Sie den absoluten Pfad für das Freigabeverzeichnis ändern.

Besitzer des Wurzelverzeichnis der Freigabe

Der Benutzer, dem das Stammverzeichnis der Freigabe gehört, siehe Zugriffsrechte auf Daten in Freigaben.

Besitzergruppe für das Wurzelverzeichnis der Freigabe

Die Benutzergruppe, der das Stammverzeichnis der Freigabe gehört, siehe Zugriffsrechte auf Daten in Freigaben.

Dateiberechtigungen für das Wurzelverzeichnis der Freigabe

Die Lese-, Schreib- und Zugriffsberechtigungen für das Stammverzeichnis der Freigabe, siehe Zugriffsrechte auf Daten in Freigaben.

Siehe auch

Role concept

in Univention Corporate Server Architecture [5] für Informationen über Directory Nodes und Managed Node als Teil des Rollenkonzepts in der UCS Appliance.

8.7.2. Reiter NFS - Freigabenverwaltung

Der Reiter NFS im Freigaben Verwaltungsmodul hat die folgenden Felder.

NFS Schreibzugriff

Wenn aktiviert, gewährt Schreibzugriff auf die Freigabe. Andernfalls ist die Freigabe im Nur-Lese-Modus.

Teilbaum-Überprüfung

Wenn aktiviert, stellt der NFS-Server sicher, dass eine aufgerufene Datei in der Freigabe tatsächlich in diesem Teilbaum liegt. Der NFS-Server führt die Überprüfung bei jedem Zugriff auf die Datei aus und übergibt die Pfadinformationen an den Client zur Überprüfung.

Wenn aktiviert, kann die Funktion Probleme in Situationen verursachen, in denen eine Datei umbenannt wird, während ein Client die Datei geöffnet hat.

Benutzer-ID für Root-Benutzer ändern (Root-Squashing)

NFS identifiziert einen Benutzer über die Benutzer-ID. Um zu verhindern, dass ein lokaler root Benutzer mit root Berechtigungen auf anderen Freigaben arbeitet, können Sie den root Zugriff umleiten. Wenn diese Option aktiv ist, führt der NFS-Server Zugriffsoperationen als Benutzer nobody aus.

Wichtig

Die lokale Gruppe staff besitzt Privilegien, die root Berechtigungen nahe kommen. Standardmäßig hat die Benutzergruppe staff keine Mitglieder und ist leer. Der Umleitungsmechanismus berücksichtigt diese Gruppe jedoch nicht. Behalten Sie dieses Verhalten im Hinterkopf, wenn Sie Benutzer zur Benutzergruppe staff hinzufügen.

NFS-Synchronisation

Definiert den Synchronisationsmodus für die Freigabe.

synchronous

Verwenden Sie den Modus synchron, um Daten direkt auf das zugrunde liegende Speichergerät zu schreiben.

asynchronous

Verwenden Sie den Modus asynchron für das gegenteilige Verhalten, um Daten nicht direkt auf das zugrunde liegende Speichergerät zu schreiben. Dieser Modus kann die Leistung verbessern, birgt aber auch das Risiko von Datenverlust, wenn der Server nicht ordnungsgemäß heruntergefahren wird.

Zugriff begrenzen auf Rechner, IP-Adresse oder Netz

Standardmäßig haben alle Rechner die Berechtigung, auf eine Freigabe zuzugreifen. Fügen Sie Rechnernamen oder IP-Adressen hinzu, um diesen Rechnern Zugriffsberechtigung zu gewähren. Beispielsweise können Sie den Zugriff auf eine Freigabe mit E-Mail-Daten auf den E-Mail-Server der Domäne beschränken.

Benutzerdefinierte NFS-Freigabeeinstellungen

Neben den vorherigen Eigenschaften erlauben Benutzerdefinierte NFS-Freigabeeinstellungen die Definition weiterer beliebiger NFS-Einstellungen für die Freigabe. Nubus führt keine Prüfung auf doppelte Einträge durch. Eine Liste verfügbarer Optionen finden Sie in den man-Seiten über man 5 exports oder online unter exports(5).

Vorsicht

Die Definition erweiterte NFS-Einstellungen ist nur in besonderen Anwendungsfällen notwendig. Sie müssen die Optionen gründlich prüfen, da sie sicherheitsrelevante Auswirkungen haben können.

8.7.3. Reiter Samba - Freigabenverwaltung

Der Reiter Samba im Freigaben Verwaltungsmodul hat die folgenden Abschnitte:

• Abschnitt Samba - Freigabenverwaltung

• Abschnitt Samba-Rechte - Freigabenverwaltung

• Abschnitt Erweiterte Samba-Rechte - Freigabenverwaltung

• Abschnitt Samba Optionen - Freigabenverwaltung

• Abschnitt Erweiterte Samba-Einstellungen - Freigabenverwaltung

8.7.3.1. Abschnitt Samba - Freigabenverwaltung

Windows Name

Der NetBIOS-Name der Freigabe. Die Freigabe erscheint mit diesem Namen in der Netzwerkumgebung auf Microsoft Windows-Computern. Wenn Sie eine Verzeichnisfreigabe hinzufügen, übernimmt das Freigaben Verwaltungsmodul den Namen aus dem Name Feld auf dem Reiter Allgemein als Standardwert.

Freigabe in Windows-Netzwerkumgebung anzeigen

Legt fest, ob die Freigabe in der Netzwerkumgebung auf Microsoft Windows-Clients angezeigt wird.

Anonymen Nur-Lese-Zugriff mit einem Gastbenutzer erlauben

Erlaubt den Zugriff auf die Freigabe ohne Passwort. Jeder Zugriff erfolgt mit den Benutzerrechten des allgemeinen Gastbenutzers nobody.

Freigabe als MSDFS-Wurzel exportieren

Für eine Beschreibung dieser Option siehe Unterstützung von MSDFS.

Verstecke nicht lesbare Dateien und Verzeichnisse

Wenn aktiviert, blendet die Freigabe alle Dateien aus, die für den Benutzer aufgrund ihrer Dateiberechtigungen nicht lesbar sind.

8.7.3.2. Abschnitt Samba-Rechte - Freigabenverwaltung

Benutzer mit Schreibrechten dürfen die Berechtigungen verändern

Wenn aktiviert, können alle Benutzer mit Schreibzugriff auf eine Datei deren Berechtigungen, Zugriffssteuerungslisten-Einträge (ACL) und Besitzverhältnisse ändern. Für weitere Informationen siehe Zugriffsrechte auf Daten in Freigaben.

Erzwungener Benutzer

Die Freigabe verwendet diesen Benutzernamen, seine Berechtigung und primäre Benutzergruppe, um alle Dateioperationen des zugreifenden Benutzers auszuführen. Die Freigabe verwendet den Benutzernamen nur, nachdem der Benutzer eine Verbindung zur Samba-Freigabe mit seinem echten Benutzernamen und Passwort hergestellt hat.

Der Anwendungsfall für einen erzwungenen Benutzer ist die gemeinsame Nutzung von Daten.

Wichtig

Unsachgemäße Verwendung kann jedoch Sicherheitsprobleme verursachen.

Erzwungene Gruppe

Die Freigabe verwendet diese Benutzergruppe als primäre Benutzergruppe für alle Benutzer, die sich mit ihr verbinden. Dadurch gelten die Berechtigungen dieser Gruppe automatisch als Gruppenberechtigungen für alle diese Benutzer. Eine hier registrierte Benutzergruppe hat eine höhere Priorität als eine Benutzergruppe, die als primäre Benutzergruppe eines Benutzers über das Erzwungener Benutzer Feld zugewiesen wurde.

Wenn Sie dem Benutzergruppennamen ein + voranstellen, weist Samba die Benutzergruppe nur als primäre Benutzergruppe Benutzern zu, die bereits Mitglied dieser Gruppe sind. Alle anderen Benutzer behalten ihre primäre Benutzergruppe.

Gültige Benutzer oder Gruppen

Namen von Benutzern oder Benutzergruppen mit Berechtigung zum Zugriff auf die Samba-Freigabe. Samba verweigert allen anderen Benutzern den Zugriff auf die Freigabe. Wenn das Feld leer ist, können alle Benutzer auf die Freigabe zugreifen, falls nötig nach Eingabe ihres Passworts. Diese Option dient der Zugriffssicherung auf eine Freigabe auf Dateiserver-Ebene über die Dateiberechtigungen hinaus.

Trennen Sie die Benutzer- oder Benutzergruppen-Einträge mit Leerzeichen. Verwenden Sie die Sonderzeichen @, + und & in Verbindung mit dem Benutzergruppennamen, um bestimmte Berechtigungen an die Benutzer in der Benutzergruppe für den Zugriff auf die Samba-Freigabe zu vergeben.

@

Samba interpretiert einen Namen, der mit dem Zeichen @ beginnt, als NIS Netgroup. Wenn Samba keine NIS Netgroup mit diesem Namen findet, betrachtet es den Namen als Unix-Gruppe.

+

Samba betrachtet einen Namen, der mit dem Zeichen + beginnt, ausschließlich als Unix-Gruppe.

&

Samba betrachtet einen Namen, der mit dem Zeichen & beginnt, ausschließlich als NIS Netgroup.

+&

Samba interpretiert einen Namen, der mit den Zeichen +& beginnt, zunächst als Unix-Gruppe. Wenn Samba keine Unix-Gruppe mit diesem Namen findet, betrachtet es den Namen als NIS Netgroup.

&+

Die Zeichen &+ am Anfang des Namens entsprechen dem Verhalten für das Zeichen @.

Nicht erlaubte Benutzer oder Gruppen

Die hier aufgelisteten Benutzer oder Gruppen dürfen nicht auf die Samba-Freigabe zugreifen. Die Syntax ist identisch mit Gültige Benutzer oder Gruppen. Samba verweigert den Zugriff auf einen Benutzer oder eine Benutzergruppe, wenn beide Optionen Gültige Benutzer oder Gruppen und Ungültige Benutzer oder Gruppen sie auflisten.

Leseberechtigung auf diese Benutzer/Gruppen beschränken

Nur die hier aufgelisteten Benutzer und Benutzergruppen haben Leseberechtigung für die Freigabe.

Samba-Schreibzugriff erlauben

Wenn aktiviert, können Benutzer in die Freigabe schreiben, wenn sie über Samba darauf zugreifen.

Wenn deaktiviert, können Benutzer dennoch Schreibzugriff haben, wenn sie in Schreibzugriff auf diese Benutzer/Gruppen beschränken aufgelistet sind.

Schreibzugriff auf diese Benutzer/Gruppen beschränken

Nur die hier aufgelisteten Benutzer und Benutzergruppen haben Schreibberechtigung für die Freigabe.

Zugelassene(r/s) Rechner/Netz

Namen von Computern mit Berechtigung zum Zugriff auf die Samba-Freigabe. Samba verweigert den Zugriff für alle anderen Computer. Zusätzlich zu Computernamen ist es auch möglich, IP- oder Netzwerkadressen anzugeben, zum Beispiel die Netzwerkadresse 192.0.2.0/255.255.255.0.

Nicht zugelassene(r/s) Rechner/Netz

Das Gegenteil zu Zugelassene(r/s) Rechner/Netz. Wenn ein Computer in beiden Listen erscheint, erlaubt Samba dem Computer den Zugriff auf die Samba-Freigabe.

Ererbte ACLs

Wenn aktiviert, erbt jede in der Freigabe erstellte Datei die Zugriffssteuerungsliste (ACL) des Verzeichnisses der Freigabe.

Neue Dateien und Verzeichnisse erhalten den Besitzer des übergeordneten Verzeichnisses

Wenn aktiviert, weist Samba der erstellten Datei den Besitzer des übergeordneten Verzeichnisses zu anstatt des Benutzers, der die Datei erstellt hat.

Neue Dateien und Verzeichnisse erhalten die Zugriffsrechte des übergeordneten Verzeichnisses

Wenn aktiviert, weist Samba automatisch die Unix-Berechtigungen des übergeordneten Verzeichnisses jeder Datei oder jedem Verzeichnis zu, das Benutzer in der Freigabe erstellen.

Wenn Benutzer eine Datei auf einem Samba-Server über ihren Microsoft Windows-Client erstellen, weist Samba Dateiberechtigungen in der folgenden Reihenfolge zu:

1. Samba übersetzt nur die DOS-Dateiberechtigungen in Unix-Dateiberechtigungen.

2. Samba filtert die Dateiberechtigungen durch den Datei-Modus. Es behält nur Unix-Berechtigungen bei, die im Datei-Modus markiert sind. Samba entfernt Berechtigungen, die nicht im Datei-Modus markiert sind. Um Berechtigungen zu erhalten, müssen Sie sie daher sowohl als Unix-Berechtigungen als auch im Datei-Modus setzen.

3. Samba fügt die Berechtigungen unter Datei-Modus erzwingen hinzu. Als Ergebnis hat die Datei alle Berechtigungen, die Samba nach Schritt 2 oder unter Datei-Modus erzwingen gesetzt hat. Das bedeutet, Samba setzt unter Datei-Modus erzwingen markierte Berechtigungen auf jeden Fall.

Entsprechend weist Samba einem neu erstellten Verzeichnis zunächst dieselben Berechtigungen zu, die sowohl als Unix-Berechtigungen als auch im Verzeichnis-Modus gleichzeitig gesetzt sind. Danach weist Samba die unter Verzeichnis-Modus erzwingen markierten Berechtigungen zu.

8.7.3.3. Abschnitt Erweiterte Samba-Rechte - Freigabenverwaltung

Datei-Modus

Definiert die Berechtigungen, die Samba zuweist, wenn Benutzer eine Datei in der Freigabe über Microsoft Windows erstellen.

Verzeichnis-Modus

Definiert die Berechtigungen, die Samba zuweist, wenn Benutzer ein Verzeichnis in der Freigabe über Microsoft Windows erstellen.

Datei-Modus erzwingen

Definiert die Berechtigungen, die Samba auf jeden Fall zuweist, wenn Benutzer eine Datei erstellen. Für diese Einstellung ist es egal, ob Benutzer unter Microsoft Windows arbeiten oder nicht.

Verzeichnis-Modus erzwingen

Definiert die Berechtigungen, die Samba auf jeden Fall zuweist, wenn Benutzer ein Verzeichnis erstellen. Für diese Einstellung ist es egal, ob Benutzer unter Microsoft Windows arbeiten oder nicht.

8.7.3.4. Abschnitt Samba Optionen - Freigabenverwaltung

VFS-Objekte

Samba verwendet Virtual File System (VFS) Module, um Aktionen auszuführen, bevor Benutzer auf das Dateisystem einer Freigabe zugreifen.

Beispiele

• Einen Virenscanner, der jede infizierte Datei, auf die in der Freigabe zugegriffen wird, in Quarantäne speichert.

• Eine serverseitige Implementierung eines Papierkorbs für das Löschen von Dateien.

Versteckte Dateien

Microsoft Windows kann auf Dateien und Verzeichnisse zugreifen, aber sie können auch nicht sichtbar sein. Solche Dateien und Verzeichnisse haben das DOS-Attribut versteckt zugewiesen.

Beachten Sie die folgenden Einschränkungen für diese Einstellung:

• Die Einstellung interpretiert Namen von Dateien und Verzeichnissen abhängig von Groß-/Kleinschreibung.

• Trennen Sie jeden Eintrag durch einen Schrägstrich (/). Sie können den Schrägstrich nicht in Pfadnamen verwenden.

• Namen können Leerzeichen und die Platzhalter * und ? enthalten.

Samba verbirgt alle Dateien und Verzeichnisse in der Freigabe, die dem Namen entsprechen. Zum Beispiel verbirgt /.*/test/ alle Dateien und Verzeichnisse mit Namen, die mit einem Punkt . beginnen, oder mit Namen test.

Bemerkung

Einträge im Feld Versteckte Dateien beeinträchtigen die Leistung von Samba, da Samba alle Dateien und Verzeichnisse in einer Freigabe entsprechend den aktiven Filtern jedes Mal validiert, wenn es Dateien anzeigt.

Postexec-Skript

Ein Skript oder Befehl, das der Server mit der Freigabe ausführt, nachdem die Verbindung zur Freigabe beendet wurde.

Preexec-Skript

Ein Skript oder Befehl, das der Server mit der Freigabe jedes Mal ausführt, wenn ein Client eine Verbindung zur Freigabe herstellt.

8.7.3.5. Abschnitt Erweiterte Samba-Einstellungen - Freigabenverwaltung

Optionsname in smb.conf und dessen Wert

Sie können weitere beliebige Samba-Einstellungen für eine Freigabe definieren, zusätzlich zu den Eigenschaften, die Sie als Standardfunktionen in einer Samba-Freigabe konfigurieren können. Eine Liste verfügbarer Optionen finden Sie in der man-Seite man 5 smb.conf oder online unter smb.conf(5) <https://manpages.debian.org/bookworm/samba-common-bin/smb.conf.5.en.html>. Das Feld Schlüssel enthält die Option und das Feld Wert den Wert für die Option. Nubus prüft nicht auf doppelte Einträge.

Vorsicht

Sie müssen erweiterte Samba-Einstellungen nur in besonderen Anwendungsfällen definieren. Prüfen Sie die Optionen gründlich, da sie sicherheitsrelevante Auswirkungen haben können.

8.7.4. Reiter Optionen - Freigabenverwaltung

Export für Samba-Clients

Definiert, ob Nubus die Freigabe für Samba-Clients exportiert, wie Microsoft Windows.

Export für NFS-Clients

Definiert, ob Nubus die Freigabe für NFS-Clients exportiert.