ubuntuusers.de

Hallo Leute,

ich habe hier ein Problem und hoffe von euch Hilfe zu bekommen um dieses zu beseitigen.

So, kurz zur Ausgangslage:

• ESXi VMWare 6.0

• Ubuntu 16.04 LTS Server

• separate VDMK erstellt und eingebunden nach /media/daten → Fileserver-Speicherplatz

• alle Filesysteme in ext4

• Samba & Kerberos → angebunden an unsere Domäne (MS W2k3 Server)

Ich habe somit ein Fileserver in unsere Domäne eingebunden welcher sich gegen die Domäne authentifiziert. Das klappt auch soweit gut. Auch Dateien und Ordner anlegen, Gruppenberechtigungen zuweisen usw. funktioniert.

Ich möchte nun Quotas einführen und habe mich an das Tutorial https://wiki.ubuntuusers.de/Quota/ gehalten. Leider steht im Abschnitt "Automatisches Erstellen der Dateien aquota.user beziehungweise aquota.group" Nicht genau welche Optionen ich da nehmen soll. Da ich nur auf Gruppenbasis die Quotas nutzen möchte, habe ich

1

quotacheck -avugmc

genutzt und ein Quotadatei (aquota.group) wurde im gemounteten Ordner erstellt.

Ich habe auch über "edgroup -g domänen-admins"" für die Gruppe 'domänen-admins' Soft und Hard Limits gesetzt (10240 und 20480) und die Gruppe wurde auch gleich erkannt indem ich nur "domänen-a" & Tab gedrückt habe wurde es korrekt ergänzt (wie gesagt, die Anbindung an AD funktioniert und die domänen-admins dürfen sich per ssh anmelden und 'sudoen').

Bei den restlichen Schritten habe ich mich an das Tutorial gehalten bis zum Punkt an dem ich die Graceperiod setzen musste. Da kam der erste Fehler

1
2

root@srv-daten:/media/daten# edquota -t
'''No filesystems with quota detected.'''

Und anschliessend habe ich mal ein allgemeinen Check durchführen wollen indem davor aber quota deaktiviert und im Anschluss wieder aktiviert hätte werden sollen. Da habe ich auch Fehlermeldungen bekommen:

1
2
3
4
5

root@srv-daten:/media/daten# quotaoff -a && quotacheck -avgm && quotaon -a
'''quotacheck: Your kernel probably supports journaled quota but you are not using it. Consider switching to journaled quota to avoid running quotacheck after an unclean shutdown.
quotacheck: Scanning /dev/sdb1 [/media/daten] done
quotacheck: Old user file name could not been determined. Usage will not be subtracted.
quotacheck: Checked 3 directories and 1 files'''

Und mit folgendem Befehl wollte ich mir ein Report für das zu 'überwachende' Verzeichnis anschauen und auch wieder eine Fehlermeldung:

1
2

root@srv-daten:/media/daten# repquota /media/daten/
'''repquota: Not all specified mountpoints are using quota.'''

Meine fstab sieht wie folgt aus:

1

UUID=0f0634df-5077-4df2-b6ba-56b7bdcfcca7       /media/daten    ext4    defaults,grpquota       0       2

So, was könnte hier schief laufen? Funktioniert es vielleicht mit dem Journaling FS (ext4) nicht? Kommt er nicht klar das die Maschine virtuell ist (was ich jetzt nicht glaube)? Ich hoffe auf eure Hilfe. Morgen früh stelle ich den Snapshot-Punkt wieder her und versuche es nochmals. Vielleicht gibt es bis dahin ja den einen oder anderen Hinweis den ich noch berücksichtigen könnte.

Ich bedanke mich schon einmal im Voraus für eure Hilfe, und wenn es auch nur für das Lesen bis hierher ist.

Ich kenne Gruppen-Quota noch nicht so genau. Probier vielleicht mal usrquota als (zusätzliche) Mountoption in der fstab.

Dass es eine VM ist, hat sicherlich keine Auswirkung.

NixBlix schrieb:

Bei den restlichen Schritten habe ich mich an das Tutorial gehalten bis zum Punkt an dem ich die Graceperiod setzen musste. Da kam der erste Fehler

1 2	root@srv-daten:/media/daten# edquota -t '''No filesystems with quota detected.'''

Hast du das entsprechende Filesystem bereits neu eingehängt? Bzw. was sagt

findmnt

So, was könnte hier schief laufen? Funktioniert es vielleicht mit dem Journaling FS (ext4) nicht? Kommt er nicht klar das die Maschine virtuell ist (was ich jetzt nicht glaube)?

Beides spielt keine Rolle, wir haben hier auch ext4 mit Quota im Einsatz, auch in VMs.

Das Thema ist schon fast 2 Monate alt aber ich bin erst jetzt wieder dazu gekommen da anzuknüfen wo ich damals aufgehört hatte.

Die o.g. Probleme haben sich bis auf eines irgendwie von selbst gelöst (vor allem: "repquota /media/daten/" funktioniert nun einwandfrei).

Woran es jetzt nur noch scheitert ist: Groupquota funktionieren nicht!

Der Befehl "edquota -g gruppenname" funktioniert und ich kann dort mein Soft- und Hard-Limit für die Anzahl der Dateien als auch für die Größe des verfügbaren Speicherplatzes festlegen. Mit einem ungültigen Gruppennamen funktioniert es nicht und somit bin ich mir sicher das meine Windows-Domänen-Gruppen auch einwandfrei erkannt wurden (auch "wbinfo -g" als auch "id username" listet alle Gruppen samt dazugehöriger ID problemlos auf). Nur ein Fehler am dem Ganzen ist: Quota "greift" eifnach nicht und ich kann beliebig viele Daten mit beliebig viel Platz auf den Server kopieren. Mache ich das alles auf Benutzerebene (Userquota) so funktioniert es wunderbar! Der Benutzer ist in diesem Falle auch ein AD-Benutzer welcher zur o.g. Gruppe gehört und ein Domänen-Admin.

So, was kann ich machen? Hat irgendwer hier Erfahrungen mit Gruppen-Quota? Am besten noch mit AD-Anbindung.

NixBlix schrieb:

Groupquota funktionieren nicht!

Zeig mal findmnt.

Sorry für die etwas verspätete Antwort. War inzwischen mal im Kurzurlaub.

So, hier die Ausgabe von 'findmnt':

root@srv-daten:/# findmnt
TARGET                                SOURCE     FSTYPE     OPTIONS
/                                     /dev/sda1  ext4       rw,relatime,errors=remount-ro,data=ordered
├─/sys                                sysfs      sysfs      rw,nosuid,nodev,noexec,relatime
│ ├─/sys/kernel/security              securityfs securityfs rw,nosuid,nodev,noexec,relatime
│ ├─/sys/fs/cgroup                    tmpfs      tmpfs      ro,nosuid,nodev,noexec,mode=755
│ │ ├─/sys/fs/cgroup/systemd          cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/
│ │ ├─/sys/fs/cgroup/cpu,cpuacct      cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,cpu,cpuacct
│ │ ├─/sys/fs/cgroup/blkio            cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,blkio
│ │ ├─/sys/fs/cgroup/net_cls,net_prio cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,net_cls,net_prio
│ │ ├─/sys/fs/cgroup/memory           cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,memory
│ │ ├─/sys/fs/cgroup/pids             cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,pids
│ │ ├─/sys/fs/cgroup/perf_event       cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,perf_event
│ │ ├─/sys/fs/cgroup/cpuset           cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,cpuset
│ │ ├─/sys/fs/cgroup/devices          cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,devices
│ │ ├─/sys/fs/cgroup/hugetlb          cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,hugetlb
│ │ └─/sys/fs/cgroup/freezer          cgroup     cgroup     rw,nosuid,nodev,noexec,relatime,freezer
│ ├─/sys/fs/pstore                    pstore     pstore     rw,nosuid,nodev,noexec,relatime
│ ├─/sys/kernel/debug                 debugfs    debugfs    rw,relatime
│ └─/sys/fs/fuse/connections          fusectl    fusectl    rw,relatime
├─/proc                               proc       proc       rw,nosuid,nodev,noexec,relatime
│ └─/proc/sys/fs/binfmt_misc          systemd-1  autofs     rw,relatime,fd=28,pgrp=1,timeout=0,minproto=5,maxprot
├─/dev                                udev       devtmpfs   rw,nosuid,relatime,size=4067408k,nr_inodes=1016852,mo
│ ├─/dev/pts                          devpts     devpts     rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000
│ ├─/dev/shm                          tmpfs      tmpfs      rw,nosuid,nodev
│ ├─/dev/mqueue                       mqueue     mqueue     rw,relatime
│ └─/dev/hugepages                    hugetlbfs  hugetlbfs  rw,relatime
├─/run                                tmpfs      tmpfs      rw,nosuid,noexec,relatime,size=817524k,mode=755
│ ├─/run/lock                         tmpfs      tmpfs      rw,nosuid,nodev,noexec,relatime,size=5120k
│ └─/run/user/1000                    tmpfs      tmpfs      rw,nosuid,nodev,relatime,size=817524k,mode=700,uid=10
├─/media/daten                        /dev/sdb1  ext4       rw,relatime,quota,usrquota,grpquota,data=ordered
└─/var/lib/lxcfs                      lxcfs      fuse.lxcfs rw,nosuid,nodev,relatime,user_id=0,group_id=0,allow_o

NixBlix schrieb:

├─/media/daten                        /dev/sdb1  ext4       rw,relatime,quota,usrquota,grpquota,data=ordered

Die markierte Option ist meines Wissens zu viel. Normalerweise würde ich dort nur usrquota und grpquota erwarten. Entferne die mal und guck mal obs danach funktioniert.

Wenn ich findmnt ausführe, dann steht da tatsächlich das was du gerade gesagt hast. In der fstab ist davon aber nichts zu sehen!

Hier der Eintrag der fstab:

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda1 during installation
UUID=d7f6832f-ccc2-457c-ac9c-f2de8f72aca8 /               ext4    errors=remount-ro 0       1
# swap was on /dev/sda5 during installation
UUID=19da01a7-9c19-4cfd-bbc8-a43ba30364a9 none            swap    sw              0       0
/dev/fd0        /media/floppy0  auto    rw,user,noauto,exec,utf8 0       0
UUID=0f0634df-5077-4df2-b6ba-56b7bdcfcca7 /media/daten  ext4    usrquota,grpquota,defaults      0       2

Ich habe auch noch einen weiteren Thread diesbezüglich, jedoch mit dem Schwerpunkt das Quota nicht mehr das Problem ist weil lokale Gruppen tatsächlich funktionieren nur die AD-Gruppen nicht. Wenn man Quotas setzt dann gibt es eine Fehlermeldung bei nicht existierenden Gruppen. Meine AD-Gruppen werden aber akzeptiert beim setzen, nur das Quota es nicht 'umsetzt' bzw. es nicht 'greift' im Betrieb. Nutze ich eine nicht existente Gruppe beim setzen der Quotas gibt es sofort eine Fehlermeldung. Meine AD-Gruppen werden aber erst einmal akzeptiert, macht aber dann nichts.....

NixBlix schrieb:

Wenn ich findmnt ausführe, dann steht da tatsächlich das was du gerade gesagt hast. In der fstab ist davon aber nichts zu sehen!

Das kann sein. findmnt zeigt aber alle aktiven Optionen an.

UUID=0f0634df-5077-4df2-b6ba-56b7bdcfcca7 /media/daten  ext4    usrquota,grpquota,defaults      0       2

Dann lass mal die Option defaults weg, und schreibe alle Optionen händisch rein:

UUID=0f0634df-5077-4df2-b6ba-56b7bdcfcca7 /media/daten  ext4    rw,relatime,usrquota,grpquota,data=ordered      0       2

Nutze ich eine nicht existente Gruppe beim setzen der Quotas gibt es sofort eine Fehlermeldung. Meine AD-Gruppen werden aber erst einmal akzeptiert, macht aber dann nichts.....

Was sagt

repquota /media/daten

Ich hab irgendwo im Netz gelesen, dass AD-Gruppen mit <gruppe>@DOMAIN.TLD eingetragen werden müssen, damit sie funktionieren. Ist das bei dir so?

Ich habe das 'defaults' nun durch deine Parameter ersetzt und die Maschine neu gestartet. Leider hat sich nichts geändert und dem mountpoint '/media/daten' habe ich wieder das Gleiche stehen:

├─/media/daten                        /dev/sdb1  ext4       rw,relatime,quota,usrquota,grpquota,data=ordered

repquota /media/daten bringt folgendes:

User            used    soft    hard  grace    used  soft  hard  grace
----------------------------------------------------------------------
root      --      20       0       0              2     0     0
max       +-    1704    1000    1000   none       3     0     0

max ist ein User der AD welcher auch in der sudoer-liste steht und sudoe kann. Somit ist der User der Domäne dem Ubuntu-System bekannt.

Zu deiner letzten Bemerkung:

Ich hab irgendwo im Netz gelesen, dass AD-Gruppen mit <gruppe>@DOMAIN.TLD eingetragen werden müssen, damit sie funktionieren. Ist das bei dir so?

Habe ich bereits ausprobiert gehabt und jetzt gerade wieder. Wenn ich meine Gruppe also setze mit folgendem Befehl:

setquota -g tmax@firma.local 1000 1000 0 0 /media/daten

Bekomme ich folgende Fehlermeldung:

setquota: group tmax@firma.local does not exist.

'tmax' ist die Gruppe in unserer Domäne, 'firma.local' ist die Domäne → firma habe ich zwecks der Anonymität umgeändert. Wenn ich das nur mit der Gruppe mache, dann kommt keine Fehlermeldung, aber repquota listet nichts auf und die Regel greift auch nicht.

Wenn ich repquota -g /media/daten ausführe, dann bekomme ich die 'Gruppen'-Quotas für diesen Mountpoint wie folgt:

Block grace time: 7days; Inode grace time: 7days
                        Block limits                File limits
Group           used    soft    hard  grace    used  soft  hard  grace
----------------------------------------------------------------------
root      --      20       0       0              2     0     0
domänen-benutzer --    1704       0       0              3     0     0

Ich habe nun mal z.B. die Ubuntu-'interne' Gruppe 'games' in die Quotas aufgenommen. Komischerweise wird diese auch nirgends aufgelistet?

setquota -g games 1000 1000 0 0 /media/daten

→ keine Fehlermeldung, aber ein repquota -g /media/daten enthält 'root' und 'domänen-benutzer' (wie oben aufgeführt). Liegt es dann doch womöglich an 'quota' (User geht, Gruppen nicht) statt der AD-Anbindung?

NixBlix schrieb:

Leider hat sich nichts geändert und dem mountpoint '/media/daten' habe ich wieder das Gleiche stehen:

Hm, vielleicht ist das doch normal. So genau kenne ich mich mit den Quotas leider nicht aus...

Wenn ich repquota -g /media/daten ausführe, dann bekomme ich die 'Gruppen'-Quotas für diesen Mountpoint wie folgt:

Block grace time: 7days; Inode grace time: 7days
                        Block limits                File limits
Group           used    soft    hard  grace    used  soft  hard  grace
----------------------------------------------------------------------
root      --      20       0       0              2     0     0
domänen-benutzer --    1704       0       0              3     0     0

Hm, das heißt das Quota für "tmax" müsste hier theoretisch auftauchen, tut es aber nicht. Und damit greift es auch nicht. Sehr komisch.

Ich habe nun mal z.B. die Ubuntu-'interne' Gruppe 'games' in die Quotas aufgenommen. Komischerweise wird diese auch nirgends aufgelistet?

setquota -g games 1000 1000 0 0 /media/daten

→ keine Fehlermeldung, aber ein repquota -g /media/daten enthält 'root' und 'domänen-benutzer' (wie oben aufgeführt). Liegt es dann doch womöglich an 'quota' (User geht, Gruppen nicht) statt der AD-Anbindung?

Das ist die Preisfrage. Ich muss gestehen, dass ich auch keine Idee mehr habe^^

Ich bin in den manpage zu quota darauf gestossen das man gruppen nicht als superuser (ist doch sudo damit gemeint, oder?) anzeigen lassen kann. Da ich die Angewohnheit habe mich nach dem Anmelden per Putty sofort permanent in den "sudo-Modus" zu wechseln ("sudo -s"), ging mir ein Licht auf...

Ich bin aus diesem Modus raus gegangen und habe dann ein "quota -g" ausgeführt. In dieser Auflistung bekomme ich nun alle Gruppen aufgelistet in der sich mein angemeldeter User befindet. Ich habe alle meine Usergruppen der AD hier stehen. Sprich: Ubuntu ist korrekt an die AD angebunden. Nur Gruppen-Quota greift nicht.... also muss es eigentlich an quota selber liegen, richtig?

Der Befehl "quota -g" listet mir die Gruppen zum momentan angemeldeten User auf und wenn das Quota kann, und sonst auch bei 'setquota -g' keine Fehlermeldung bringt (nicht existente Gruppe o.ä.), dann erkennt Quota ja die Gruppen korrekt. Nur nutzen kann er sie nicht...

NixBlix schrieb:

Der Befehl "quota -g" listet mir die Gruppen zum momentan angemeldeten User auf und wenn das Quota kann, und sonst auch bei 'setquota -g' keine Fehlermeldung bringt (nicht existente Gruppe o.ä.), dann erkennt Quota ja die Gruppen korrekt. Nur nutzen kann er sie nicht...

Dann könntest du eventuell mal versuchen, dich an die LKML zu wenden. Das ganze Quota-Zeug ist ja Bestandteil des Kernels.

Hallo, ich würde mich gerne an das "LKML" wenden. Gibt es da irgendwo ein Forum wo ich mich an die wenden kann oder muss ich mich direkt per Mail o.ä. an die wenden?

NixBlix schrieb:

Hallo, ich würde mich gerne an das "LKML" wenden.

Das ist einfach die Linux-Kernel-Mailinglist.

Gibt es da irgendwo ein Forum wo ich mich an die wenden kann oder muss ich mich direkt per Mail o.ä. an die wenden?

Nein, da gibts keine Verwaltung übers Web. Du kannst also einfach eine Mail dahin senden, eventuell mit dem Hinweis, dass du die Liste nicht abonniert hast, und daher im CC beibehalten bleiben willst.