UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
Hallo,
um die neueste Version zu haben, habe ich NTFS-3G Version 2015.3.14 compiliert und installiert, was für meine Frage aber sicher nur zweitrangig relevant ist. Auf http://jp-andre.pagesperso-orange.fr/permissions.html#usermapping steht, dass man nach folgendem Schema vorgehen sollte:
# Typical pattern of a user mapping file for Windows 7 and earlier
# All users are in the same primary group
1000::S-1-5-21-1833069642-4243175381-1340018762-1002
1001::S-1-5-21-1833069642-4243175381-1340018762-1008
:500:S-1-5-21-1833069642-4243175381-1340018762-513
Auf Ubuntu gibt es aber keine gid 500 und so bin ich am überlegen, welche ich da nehmen sollte. Da jedem Benutzer ja seine eigene Kennung als primäre Gruppe zugeordnet ist, gibt es keine allen gemeinsame gid, die man nutzen könnte. Z.B.:
user1@Ubuntu:~$ id
uid=1000(user1) gid=1000(user1) Gruppen=1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lpadmin),124(sambashare)
user2@Ubuntu:~$ id
uid=1001(user2) gid=1001(user2) Gruppen=1001(user2),4(adm),24(cdrom),30(dip),46(plugdev),108(lpadmin),124(sambashare)
Jetzt könnte man auf die Idee kommen, die gid=100(users) - wofür steht die eigentlich? - zu nehmen, und die den Benutzern als primäre Gruppe zuzuordnen. Da habe ich aber die Befürchtung, dass damit das Sicherheitskonzept von Ubuntu durcheinander gebracht wird. Wie ist denn hier die Meinung zu dem Problem?
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
Jetzt, da ich die Frage gerade abgeschickt habe, bekomme ich nun auch hier eine Antwort: http://tuxera.com/forum/viewtopic.php?p=38793&sid=3db3d6c959740fe4eec1029a0623c6e1#p38793 Dennoch bleibt da für mich die Frage nach dem Sicherheitskonzept. Wenn alle Benutzer die gid 1999 bzw. 100 als Primärgruppe haben, hat dann ja jeder Benutzer Zugriff auf die Daten der anderen Benutzer. Das kann doch nicht Sinn der Sache sein oder?
|
MannMitHut
Anmeldungsdatum: 22. Juni 2010
Beiträge: 806
|
Also auch hier nochmals (vlg. 7518143) die Frage: Was ist die Ausgangssituation und wie lauten die eigentlichen Ziele konkret? Edit: ▶ "Beschreibe das Ziel, nicht einen Schritt" – in diesem Sinne versteht sich meine Rückfrage. Ich habe selbst die Erfahrung gemacht (in dem Fall im Zusammenhang mit Backups), dass die Rechteverwaltung mit NTFS zu einem fürchterlichen Gebastel führen kann und dass der Blick nach grundsätzlichen Alternativen möglicherweise zum Ziel führt.
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
MannMitHut schrieb: Also auch hier nochmals (vlg. 7518143) die Frage: Was ist die Ausgangssituation und wie lauten die eigentlichen Ziele konkret?
... in diesem Sinne versteht sich meine Rückfrage. Ich habe selbst die Erfahrung gemacht (in dem Fall im Zusammenhang mit Backups), dass die Rechteverwaltung mit NTFS zu einem fürchterlichen Gebastel führen kann und dass der Blick nach grundsätzlichen Alternativen möglicherweise zum Ziel führt.
Schön, dass nun doch noch jemand hierher gefunden hat. Wegen fehlender Resonanz hatte ich deshalb zwischenzeitlich schon mal die Unterfrage Den Benutzern eine gemeinsame Primärgruppe zuordnen separat gepostet. Die Ziele (ich dachte, das ginge schon ausreichend aus dem Titel und meinen Links hervor):
Die Windows Vista Benutzer-Ordner Public, User1 und User2 auf D:\Users\ sollen von Windows und Linux genutzt werden können. Wenn eine neue Datei/Ordner von Windows aus darin angelegt wird, soll diese dem entsprechenden Benutzer auf Linux mit den gleichen Rechten zugänglich sein, wie wenn sie auf dessen Home-Verzeichnis erstellt worden wäre. Wenn eine neue Datei/Ordner von Linux aus darin angelegt wird, soll diese dem entsprechenden Benutzer auf Windows mit den gleichen Rechten zugänglich sein, wie wenn sie dort direkt mittels Windows erstellt worden wäre. Wenn das dann alles funktioniert will ich die Linux-Ordner wie z.B. Dokumente, Bilder, .thunderbird etc. durch einen entsprechenden SymLink auf die NTFS-Partition ersetzen. Letzteres ermöglicht dann z.B., dass man von beiden Systemen in die gleichen Mail-Ordner Zugriff hat. Das funktioniert bestens, habe ich schon seit Jahren auf meinem System so am Laufen, nur die Besitzer und Rechte passen nicht so recht, wenn das Mapping nicht richtig funktioniert. Auf meinem System habe ich es deshalb bisher weggelassen, was u.a. dazu führt, dass von Linux erzeugte Dateien auf Windows dann Vollzugriff für "Jeder" haben.
Leider schlägt der Chef-Programmierer von NTFS-3G nur das Ändern der Besitzer-Gruppen-Zuordnungen auf Ubuntu vor, doch dabei bekomme ich Bauchschmerzen, und wüsste deshalb gerne:
Worin liegt denn der Sinn, auf Ubuntu allen Benutzern eine gleichnamige Gruppe als Hauptgruppe zuzuordnen? Ist das nur ein Platzhalter, den man nach Belieben weglassen und bei Bedarf durch was anderes ersetzen kann, oder wird damit eine Funktion ermöglicht, die sich mir noch nicht erschlossen hat. Eine Hauptgruppenzuordnung nur für das NTFS-Mapping zu verschwenden würde vielleicht andere Nutzungen, wofür diese Funktionalität mal angedacht war, ausschließen. Evtl. zeigen sich irgendwann noch andere mir jetzt nicht absehbare negative Konsequenzen. Kann man zu dem Zweck die schon bestehende Gruppe users(100) verwenden?
|
MannMitHut
Anmeldungsdatum: 22. Juni 2010
Beiträge: 806
|
UlfZibis schrieb:
Die Ziele (ich dachte, das ginge schon ausreichend aus dem Titel und meinen Links hervor):
Wir kommen der Sache näher, aber …
Das ist immer noch eher auf der Ebene technischer Lösungen anstatt einer Beschreibung von konkreten Aufgaben. Um was für Daten handelt es sich, was wird damit gearbeitet, wie hoch sind die Zugriffsraten? Auch: Könnte Windows auch in einer virtuellen Maschine laufen?
Wenn eine neue Datei/Ordner von Windows aus darin angelegt wird, soll diese dem entsprechenden Benutzer auf Linux mit den gleichen Rechten zugänglich sein, wie wenn sie auf dessen Home-Verzeichnis erstellt worden wäre. Wenn eine neue Datei/Ordner von Linux aus darin angelegt wird, soll diese dem entsprechenden Benutzer auf Windows mit den gleichen Rechten zugänglich sein, wie wenn sie dort direkt mittels Linux erstellt worden wäre. Wenn das dann alles funktioniert will ich die Linux-Ordner wie z.B. Dokumente, Bilder, .thunderbird etc. durch einen entsprechenden SymLink auf die NTFS-Partition ersetzen. Letzteres ermöglicht dann z.B., dass man von beiden Systemen in die gleichen Mail-Ordner Zugriff hat. Das funktioniert bestens, habe ich schon seit Jahren auf meinem System so am Laufen, nur die Besitzer und Rechte passen nicht so recht, wenn das Mapping nicht richtig funktioniert. Auf meinem System habe ich es deshalb bisher weggelassen, was u.a. dazu führt, dass von Linux erzeugte Dateien auf Windows dann Vollzugriff für "Jeder" haben.
Leider schlägt der Chef-Programmierer von NTFS-3G nur das Ändern der Besitzer-Gruppen-Zuordnungen auf Ubuntu vor, doch dabei bekomme ich Bauchschmerzen, und wüsste deshalb gerne:
Worin liegt denn der Sinn, auf Ubuntu allen Benutzern eine gleichnamige Gruppe als Hauptgruppe zuzuordnen? Ist das nur ein Platzhalter, den man nach Belieben weglassen und bei Bedarf durch was anderes ersetzen kann, oder wird damit eine Funktion ermöglicht, die sich mir noch nicht erschlossen hat. Eine Hauptgruppenzuordnung nur für das NTFS-Mapping zu verschwenden würde vielleicht andere Nutzungen, wofür diese Funktionalität mal angedacht war, ausschließen. Evtl. zeigen sich irgendwann noch andere mir jetzt nicht absehbare negative Konsequenzen. Kann man zu dem Zweck die schon bestehende Gruppe users(100) verwenden?
Diese "gleichen Rechte" gibt es eben technisch nicht, sondern bestenfalls eine leidliche Übersetzung, die auf halbem Weg hängen bleibt. Und ohne jetzt auf die Details bzgl. dem Treiber NTFS-3G einzugehen (und eingehen zu können): Es hat offensichtlich schon seine Gründe, dass Ubuntu diesen ohne bestimmte einkompilierte Funktionen ausliefert. Daher denken wir doch einamal in eine ganz andere Richtung als in der Kategorie eines Transfers über ein Dateisystem. Was Deine Aufgabe löst, ist im Prinzip Samba oder eine (möglichst eigene) Cloud-Lösung (wie ownCloud). Was genau passt, hängt von den konkreten Fall ab – daher die Nachfragen. Mit Windows in einer VM wäre ein Datenaustausch über Samba möglich oder über freigegebene Ordner, je nach den Möglichkeiten des Virtualisierungssystems. Mit einem NAS könnten sich evtl. wiederum Möglichkeiten ergeben. (Nebenbei: Mit Thunderbird würde ich nicht mit Symlinks arbeiten, sondern beide Installationen direkt auf dieselben Ordner setzen – das ist aber erst mal ein Nebenkriegsschauplatz.) Grüße!
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
MannMitHut schrieb: Das ist immer noch eher auf der Ebene technischer Lösungen anstatt einer Beschreibung von konkreten Aufgaben. Um was für Daten handelt es sich, was wird damit gearbeitet, wie hoch sind die Zugriffsraten? Auch: Könnte Windows auch in einer virtuellen Maschine laufen?
Die beiden OS sollen nicht gleichzeitig sondern wechselseitig genutzt werden, und außerdem wollte ich auf der dann entstehenden Hitze keine Eier braten 😉 . Spaß beiseite, aber auch folgendes spricht gegen eine VM: Auf der Kiste läuft Vista, weil sie eben genauso alt ist, es also an CPU-Leistung, RAM etc. dafür fehlt. Außerdem soll dem Nutzer der der Umstieg von Windows auf Ubuntu ermöglicht werden, das Windows soll nur für den "Notfall" nutzbar bleiben, und außerdem ist das Vista schon installiert, und soll nicht neu installiert/eingerichtet werden. Weiterhin gäbe es Probleme wenn der Nutzer die gemeinsamen Daten und erst Recht das Firefox/Thunderbird-Profil von beiden Seiten gleichzeitig öffnen würde. Es handelt sich um ganz normale Nutzerdaten wie Dokumente, Bilder, ... und Mozilla-Profile, Zugriffsraten sollten da irrelevant sein. Gäbe es auch Bemerkungen zu meinen Bauchschmerzen? : Worin liegt denn der Sinn, auf Ubuntu allen Benutzern eine gleichnamige Gruppe als Hauptgruppe zuzuordnen? Ist das nur ein Platzhalter, den man nach Belieben weglassen und bei Bedarf durch was anderes ersetzen kann, oder wird damit eine Funktion ermöglicht, die sich mir noch nicht erschlossen hat. Eine Hauptgruppenzuordnung nur für das NTFS-Mapping zu verschwenden würde vielleicht andere Nutzungen, wofür diese Funktionalität mal angedacht war, ausschließen. Evtl. zeigen sich irgendwann noch andere mir jetzt nicht absehbare negative Konsequenzen. Kann man zu dem Zweck die schon bestehende Gruppe users(100) verwenden?
Diese "gleichen Rechte" gibt es eben technisch nicht,
Was ist denn an den Rechten ungleich wenn die Dateien sowohl von /home/user1 als auch von der NTFS-Partition auf Ubuntu gleichermaßen so erscheinen? :
-rw-rw-r-- 1 user1 user1 123 Jul 10 07:25 Beispiel.txt
Was Deine Aufgabe löst, ist im Prinzip Samba oder eine (möglichst eigene) Cloud-Lösung (wie ownCloud). ...
Der Läppi soll auf jeder grünen Wiese nutzbar sein, eine netzabhängige Client-Server-Landschaft ist nicht geplant.
(Nebenbei: Mit Thunderbird würde ich nicht mit Symlinks arbeiten, ...)
Siehe hier unter Vorteile: Mozilla plattformübergreifend nutzen (Abschnitt „Zugriff-per-Ordner-Verknuepfung“) Grüße,
|
MannMitHut
Anmeldungsdatum: 22. Juni 2010
Beiträge: 806
|
Ich hätte ganz ähnliche Bauchschmerzen … (Thunderbird: Hatte noch nie Probleme mit direktem Einbinden jeweils als Profilordner – aber wie gesagt hier ja nicht das eigentliche Thema.) Aber doch jetzt mal der Reihe nach: Das Laptop wird von verschiedenen Leuten genutzt, und jeder davon soll nicht an die Daten des anderen Nutzers herankommen können. … Dir ist schon klar, dass die Nuzterrechte (egal ob unter Windows oder unter Linux) nur im laufenden System wirksam sind, d.h., wenn jemand einfach im Recovery-Modus, mit einer Live-CD oder was ähnlichem den Rechner hochfährt, kommt er sowieso an alles ran! Ist nicht vielmehr das, was Du brauchst ein – plattformübergreifend funktionierendes – Verschlüsselungssystem?! 😀 Mir fällt dazu nichts besseres ein als das nicht mehr sicher als sicher geltende ( 😉 ) TrueCrypt. Grüße!
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3023
Wohnort: Köln
|
MannMitHut schrieb: (Thunderbird: Hatte noch nie Probleme mit direktem Einbinden jeweils als Profilordner – aber wie gesagt hier ja nicht das eigentliche Thema.)
Dann kann man aber unter Ubuntu mit dem Profilmanager hinzugefügte weitere Profile unter Windows nicht sofort wieder auswählen, sondern muss diese dort wieder manuell eintragen und umgekehrt.
Aber doch jetzt mal der Reihe nach: Das Laptop wird von verschiedenen Leuten genutzt, und jeder davon soll nicht an die Daten des anderen Nutzers herankommen können. … Dir ist schon klar, dass die Nuzterrechte (egal ob unter Windows oder unter Linux) nur im laufenden System wirksam sind, d.h., ...
Das ist mit schon klar. Es geht aber nicht darum, das System Hacker-sicher zu machen, sondern normalen Computerbenutzern durch die normalen Mittel die Daten gegenseitig voreinander zu schützen. Im übrigen sind unter der normalen Ubuntu-Konfiguration die Benutzerdaten auch nur gegenseitig untereinander schreibgeschützt, es sei denn man ändert das entsprechend. Die per NTFS-3G eingebundenen Ordner sollen einfach nur genauso bzgl. der Rechte behandelt werden, wie die im normalen Home-Verzeichnis. Danke, dass Du mir so viele Alternativen vorstellst, doch ich weiß schon warum ich das über das NTFS-3G-Mapping regeln will. In einer früheren Installation hatte ich das auch schon mal über das user1:user1:SID-Mapping geregelt, doch diesmal wollte ich uid und gid getrennt mappen, so wie hier beschrieben.
|