TrueNAS einrichten

[hs_warez]

Hallo!

Server/Nas an sich läuft jetzt mal.
TrueNAS ist erreichbar und die 3x6TB habe ich schon als Pool (Raid Z) angelegt.

Hab schon zig Anleitungen (von älteren FreeNAS-Versionen) und engl. Videos angesehen - irgendwie wird da auf zig Dinge nicht eingegangen und irgendwie blicke ich da nicht durch!

Wie baut man die Struktur (Ordner, Freigaben,....) jetzt am Besten auf?


Was möchte ich grob haben?

2 Benutzer (ich + Freundin)
div. Ordner (z.B. Fotos, Videos, Filme,..) - Vollzugriff für beide Benutzer (mit Passwort)
Ordner - wo nur ein best. Benutzer Zugriff haben soll

Wie setzte ich das jetzt in TrueNAS am Besten um ohne dass ich dann in Windows für jeden Ordner ein Netzlaufwerk einbinden muss!?

Irgendwie blicke ich da nicht mehr durch.

Pool, Dataset.....


Danke!


LG

Beitrag automatisch zusammengeführt: 09.01.2021

Versuchsweise hab ich jetzt mal Folgendes gemacht.

div. Datasets (z.B. Foto, Videos, Sicherungen, Daten,....)

2 Benutzer
1 Benutzergruppe - welche obige 2 Benutzer enthält


Hab bei den Datasets die "Benutzergruppe" hinterlegt - "Ordner" sind in Windows erreichbar.

Der Ordner "Daten" sollte nur von einem Benutzer verwendet werden.
Derzeit ist es so, dass ihn beide Benutzer sehen, Zugriff ist aber nur für den hinterlegten Benutzer möglich.
Wie kann ich es denn einstellen, dass der andere Benutzer diesen Ordner "Daten" erst gar nicht sieht!?


Danke!


LG

 

[Gen8 Runner]

Gibt zwei Möglichkeiten.

1, Alles über den TrueNAS ACL Manager (der aber noch nicht so super ausgereift und übersichtlich ist)
2. Über den Windows-Explorer die Rechte vergeben

Den Pool an sich hast du schon angelegt. Das ist quasi dein Verbund aller Festplatten zu "einer großen Festplatte".
Nun kommt es drauf an, die Datasets anzulegen.

Ich habe diese wie folgt aufgeschlüsselt (jeweils eigenes Dataset):
- Medien
- Backup Ich
- Backup Freundin
- ISOStorage
- NextCloud

Dafür also erstmal ein sinnvolles Konzept bereitlegen. Das ist nachher nämlich auch wichtig und sinnvoll für die Snapshots etc.
Für die Medien brauche ich deutlich weniger Snapshots, als bspw. für das Backup von mir. Was ist, wenn in einem Jahr auffällt, dass ich einen Film versehentlich gelöscht habe? Egal -> Kann ich wiederbesorgen -> Brauche keine tausend Snapshots. Was ist, wenn in einem Jahr auffällt, dass ich eine Rechnung versehentlich gelöscht habe? Kann ich nicht wieder besorgen -> Viele Snapshots sinnvoll!

Wenn das alles angelegt ist, musst du dir überlegen, welche Nutzer welche Freigaben haben sollen:
- Du
- Deine Freundin
- Alle übrigen Nutzer
- Die Kids eventuell
Sprich: Nutzer anlegen unter TrueNAS ->Accounts -> Users

Nun musst du dich entscheiden, ob du über Windows die Freigaben verwalten möchtest oder über TrueNAS ACL Manager.
Wenn über TrueNAS -> Nix vorerst.
Über Windows -> Services -> SMB -> Stift -> Advanced Options -> Administrators Group -> den Benutzer wählen, wer die ACL administrieren können soll

Ich zeige erstmal den Weg über Windows auf:
1. ACL Admin hast du ausgewählt -> Super
2. Sharing -> SMB -> SMB Share anlegen
Du kannst hier für den ganzen Pool einen Share anlegen oder pro Dataset...Ich habe tatsächlich pro Dataset einen Share angelegt, was hält dich davon ab?
3. Namen für den Share vergeben und erstmal stumpf übernehmen
4. Nachdem alle Shares angelegt worden sind und auch alle Benutzer stehen geht's im Windows Explorer weiter
5. Windows Explorer öffnen, ganze oben in die Leiste klicken -> \\IP.Deines.TrueNAS.Systems\
6. Du wirst nach Login-Daten gefragt (sofern vorher alles richtig gesetzt wurde. HIER DIE LOGIN DATEN DEINE ADMIN ACCOUTNS VON OBEN NUTZEN
7. Alle Shares werden dir nun aufgelistet
8. Entsprechenden Share (="Dataset" je nach Konfiguration) rechsklicken -> Eigenschaften -> Sicherheit -> Erweitert

Dort kannst du nun alle Benutzer hinzufügen, entfernen usw. usf.
Für's Hinzufügen bspw. Stumpf draufklicken -> Prinzipal auswählen -> Den in TrueNAS vergebenen Nutzernamen eintippen -> OK -> Rechte vergeben
Selbiges kannst du für die Kontrolle von Unterordnern machen...Aber Achtung: Sobald du einmal die Vererbung eine Ebene darüber aktivierst, kannst du auch wieder dadurch die Recht zerschießen. Deshalb bin ich für den Heimgebrauch auch eher der Freund von vielen Datasets, "idiotensicherer", ich habe mich da auch schon ab und zu verklickt.

Am besten erstmal ne Spielwiese bauen. Einfach ein paar Datasets bauen, Rechte vergeben, Rechte wegnehmen und mit einem zweiten Laptop (oder VM, Smartphone) schauen, wie wo was passiert, worauf du Zugriff hast und worauf nicht. Wenn du dann halbwegs sattelfest bist, mit deinen richtigen Daten arbeiten. Und: SNAPSHOTS SNAPSHOT SNAPSHOTS!!!! Die Fressen kein Brot, sind aber das A und O.

Habe sicherlich den ein oder andere Zwischenschritt / Bemerkung oben vergessen, aber grob funktioniert das so.
Wichtig nur: Sauber arbeiten, sauber Benutzer anlegen, Freigaben mit Bedacht vergeben. Am Anfang sieht das alles sehr verwirrend aus, gerade wenn man noch nie mit Freigaben gearbeitet hat, aber sobald der Grundstock erstmal steht, ist der Rest schnell und recht einfach gemacht.

 

[hs_warez]

Danke!

Werde es dann nochmal genauer lesen und nebenbei testen!

Die Rechtevergabe mit Windows spricht mich mehr an - mal sehen.

LG

Beitrag automatisch zusammengeführt: 09.01.2021

Hm, irgendwo habe ich einen Fehler - Windows lässt mich die Einstellungen/Berechtigungen der Ordner nicht ändern - Fehler bei der Berechtigung.

 

[Trambahner]

Grundsätzlich kann man mit ZFS auch mehrere Datasets unter einem SMB-Share freigeben, also z.B. durch Verschachteln oder Verbiegen von Mountpoints.

Ich würde gerade zum Einstieg aber davon abraten, weil man als Einsteiger da schnell mal auch Datasets und Verzeichnisse, die sehr ähnlich aussehen können, durcheinander wirbelt.
Sowas würde ich erst machen, wenn man sich ein bissl eingearbeitet hat.
Aber: Grundsätzlich möglich, solange Samba im Einsatz ist; nutze ich auch. Mit Solaris/OmniOS Kernel-SMB, also ohne Samba, gehts glau ich nicht.

 

[gea]

Grundsätzlich kann man mit ZFS auch mehrere Datasets unter einem SMB-Share freigeben, also z.B. durch Verschachteln oder Verbiegen von Mountpoints.

Ich würde gerade zum Einstieg aber davon abraten, weil man als Einsteiger da schnell mal auch Datasets und Verzeichnisse, die sehr ähnlich aussehen können, durcheinander wirbelt.
Sowas würde ich erst machen, wenn man sich ein bissl eingearbeitet hat.
Aber: Grundsätzlich möglich, solange Samba im Einsatz ist; nutze ich auch. Mit Solaris/OmniOS Kernel-SMB, also ohne Samba, gehts glau ich nicht.

Bei Solarish (ZFS integriertes SMB) ist ein SMB Share eine strikte Eigenschaft eines ZFS Dateisystems. Geschachtelte ZFS Dateisysteme in die man per SMB wechseln kann sind unter OmniOS möglich, nicht aber unter Solaris. SAMBA weiß nichts von ZFS sondern sieht nur einfache Ordner. Damit kann man daher die Shares beliebig zusammenbauen.

Nachteil von SAMBA gegenüber dem ZFS SMB: Meist geringere Performance, keine lokalen SMB Gruppen die so arbeiten wie unter Windows, keine Windows SID (nur Unix uid), keine Windowsartigen ntfs ACL, ZFS Snaps als Windows vorherige Version gehen nur wenn man es sauber konfiguriert, nicht so simpel in der Konfiguration dafür aber mehr sonstige Optionen und SAMBA gibts halt für jedes Linux/Unix während es den in ZFS eingebauten nur unter Solarish gibt.

 

[Gen8 Runner]

Hm, irgendwo habe ich einen Fehler - Windows lässt mich die Einstellungen/Berechtigungen der Ordner nicht ändern - Fehler bei der Berechtigung.

Storage -> Pool -> Permissions
Was hast du dort eingestellt, insbesondere bei den Usern?

Ich nutze mittlerweile den ACL Manager von TrueNAS, daher kann ich dir gerade nicht sagen, ob du auf deinen Admin-Account wechseln musst.

 

[hs_warez]

Storage -> Pool -> Permissions
Was hast du dort eingestellt, insbesondere bei den Usern?

Ich nutze mittlerweile den ACL Manager von TrueNAS, daher kann ich dir gerade nicht sagen, ob du auf deinen Admin-Account wechseln musst.

Ist so eingestellt - da habe ich bisher nix umgestellt.

Beitrag automatisch zusammengeführt: 10.01.2021

Wenn ich ACL nicht nutzen möchte - sondern über Windows - reicht es, wenn ich ACL beim Anlegegen eines Datasets einfach nicht konfiguriere, oder muss ich es gleich deaktivieren?

 

[gea]

Wenn ich ACL nicht nutzen möchte - sondern über Windows - reicht es, wenn ich ACL beim Anlegegen eines Datasets einfach nicht konfiguriere, oder muss ich es gleich deaktivieren?

??

Man hat drei Beteiligte beim Setzen der Rechte

1. Windows
Dessen Rechteoptionen werden durch die ACL Möglichkeiten eines Windows Servers und des Windows Dateisystems bestimmt, also ntfs ACL mit Vererbung und ganz feingliedrigen Möglichkeiten, https://www.ntfs.com/ntfs-permissions-file-folder.htm

Hinzukommt die große Flexibilität. Gruppen können z.B. Gruppen enthalten (was Unix/Linux Groups nicht können). Auch ist eine Windows Security ID SID an den Rechner oder die Domäne gebunden was unter Linux/Unix meist nur über irgendwelche Mappings abgebildet wird.

2. ZFS als Dateisystem
ZFS ist ein Unix Dateisystem das Sun für Solaris entwickelt hat. Als Rechtereferenz kann man da traditionelle einfache Unix Rechte nutzen (Ich, meine Freunde und Rest der Welt). Zusätzlich gibt es ACL. Unter Linux/Free-BSD meist Posix ACL. Die arbeiten wie einfache Unix Rechte, ermöglichen aber weitere Einzeluser oder Gruppen. Unter Solaris werden nfs4 ACL genutzt. Die sind angelehnt an die Windows ntfs ACL, https://www.uni-koblenz-landau.de/de/koblenz/GHRKO/netzwerk/nfs4/ACLs

Grundsätzlich speichert ZFS nur Unix ACL (Posix oder nfs4) also uid/gid als Bezug. Lediglich Solarish speichert zusätzlich die Windows SID als erweiterte ZFS Eigenschaft in denen der Rechner oder Domäne als Bezug dient.

Die Art und Weise wie ZFS mit den Rechten und deren Vererbung umgeht werden über die ZFS Eigenschaften aclinherit und aclmode gesetzt. Damit kann man auch erreichen ob die Vererbung eher Windowsartig arbeitet (Vererbung, zunächst ist alles erlaubt) oder eher Unixartig (zunächst ist alles verboten, keine automatische Vererbung von Rechten)

3. SAMBA (oder der ZFS kernelbasierte SMB Server)
Da ZFS die Optionen eines Windows Dateisystems nicht oder nicht vollständig abbilden kann, erfolgen viele Anpassungen auf SAMBA oder SMB Server Ebene. Dazu gehören z.B. Vererbung oder Gruppenoptionen.

Ergo
Je weniger das Unix Dateisystem Windowsartig arbeitet, desto mehr muss SAMBA anpassen damit Windows vernünftig arbeitet. ACL auf ZFS zu deaktivieren ist die schlechteste Idee. Man sollte froh sein wenn das Dateisystem ACL unterstützt, seien es auch nur Posix ACL.

Im Regelfall würde ich die Rechte immer von Windows aus setzen und es dem SMB Server überlassen, das Beste daraus zu machen und Sachen die das Dateisystem nicht kann so gut wie möglich anzupassen.. ACL setzen unter Unix stellt immer die (begrenzten) Möglichkeiten in den Vordergrund die jeweils in dem verwendeten Linux/Unix unterstützt werden.

Ich setze die ACL unter Unix nur (Solaris, würde ich aber unter Free-BSD und Linux auch so machen) dann wenn ich die Rücksetzen möchte weil das unter Unix weniger Aufwand macht als unter Windows wo man erst Eigentümer werden muss. Ein weiterer Aspekt ist dass Windows erst alle deny Rechte abarbeitet dann allow während es unter Unix üblich ist wie bei einer Firewall die Reihenfolge der ACL zu beachten. Deny Regeln unter Windows können dann anders wirken als wenn man die unter Unix setzt. Deny Regeln nutzt man aber eh extrem selten.

Wenn man Rechte unter Windows setzen möchte muss man das aber als User machen, der volle Rechte hat z.B. root

 

[hs_warez]

Hm, irgendwie komme ich leider nicht weiter - bei sämtlichen "HowTo's" steht irgendwie auch nix brauchbares drin!?

Habe die Datasets erstellt - und beim jeweiligen Dataset die nötigen "User-Groups" zugewiesen.
Dann die entsprechenden Shares erstellt - ohne die AVL-Konfiguration abzuschließen.

Jetzt ist es so, dass die Freigaben an funktionieren dürften, nur sieht halt der Benutzer meiner Freundin einen Ordner, welcher für diesen nicht sichtbar sein sollte.
D.h. der Ordner ist sichtbar, aber es ist kein Zugriff möglich.
Ich möchte aber, dass der Ordner für den betreffenden User gar nicht aufscheint!?

Was habe ich da falsch gemacht!?


Danke!


LG

Beitrag automatisch zusammengeführt: 11.01.2021

Schon "interessant" - in sämtlichen HowTo's wird das immer ganz grob und als einfach umrissen - in der Praxis funktionierts aber damit nicht - zumindest bei mir!?

Beitrag automatisch zusammengeführt: 11.01.2021

Wofür braucht man ein zvol im Dataset und ist es sinnvol das zu erstellen, oder reicht ein Dataset?

 

[Gen8 Runner]

Schwierig aus der Ferne alles abzuklappern.
Könnte sonst mal kurz per Teamviewer draufschauen, wenn dir das recht wäre, müsstest dich dann nur mal per PN melden.

Erfolgsgarantie natürlich nicht, aber zumindest mein System habe ich wie gewünscht zum Laufen bekommen.

 

[hs_warez]

Schwierig aus der Ferne alles abzuklappern.
Könnte sonst mal kurz per Teamviewer draufschauen, wenn dir das recht wäre, müsstest dich dann nur mal per PN melden.

Erfolgsgarantie natürlich nicht, aber zumindest mein System habe ich wie gewünscht zum Laufen bekommen.

Danke für das nette Angebot - komme ev. drauf zurück.

Habe gestern noch ein engl. Video gefunden, wo das Thema Freigaben/share grob umrissen wird - schaue ich mir in Ruhe nochmal an.
Handbuch habe ich auch mal überflogen.

Fehler liegt vermutlich bei AVL - mal sehen.


Wenn ich das mit den Freigaben hingebracht habe, kommen sicher noch andere Themen/Fragen!
;-)

LG

 

[hs_warez]

Hm, ich denke ich muss mal auf dein Angebot zurückkommen!

Egal wie/was ich einstelle, es sind immer alle Ordner für beide Benutzer sichtbar!?
Zugriff, oder auch nicht - funktioniert so wie gewollt - nur die "Sichtbarkeit" nicht!?


LG

 

[gea]

Ich kann direkt nichts zu TrueNAS beisteuern da ich es nicht nutze.
Die benötigte Funktion auf dem SMB/SAMBA Server lautet ABE (Access Based Enumeration) um das zu erreichen.

Über ACL läßt sich das nicht erreichen.

z.B. https://www.windowspro.de/wolfgang-...ver-2008-r2-ordner-bei-fehlenden-rechten-ausb

 

[hs_warez]

Hm, es ist echt zum Verzweifeln!

Die Berechtigungen an sich funktionieren, nur wie geht das, dass z.B. der User meiner Freundin meinen Sicherungsordner nicht sieht?

Zugriff hat sie nicht, aber sehen tut sie ihn!?

 

[DJDark]

Hm, es ist echt zum Verzweifeln!

Die Berechtigungen an sich funktionieren, nur wie geht das, dass z.B. der User meiner Freundin meinen Sicherungsordner nicht sieht?

Zugriff hat sie nicht, aber sehen tut sie ihn!?

Unter Windows half früher das $ im Freigabenamen, weiß nicht ob das mit Samba auch geht.

€dit: Geht anscheinend immer noch: https://care.qumulo.com/hc/en-us/articles/360005375333-Hide-an-SMB-Share

 

[hs_warez]

Unter Windows half früher das $ im Freigabenamen, weiß nicht ob das mit Samba auch geht.

€dit: Geht anscheinend immer noch: https://care.qumulo.com/hc/en-us/articles/360005375333-Hide-an-SMB-Share

Danke - werde ich mir ansehen.

LG

 

[gea]

Mit share$ versteckt man Shares auch für berechtigte Benutzer.

Da SAMBA ABE kann, muss man das irgendwo aktivieren können, zur Not in der smb.conf

Samba: How to enable Access Based Enumeration - Projective Manuals - 5.6

In order to enable Access Based Enumeration for Samba, please add the following lines to the share definition in the “smb.conf”. hide unreadable = Yes access...

manuals.projective.io

 

[Gen8 Runner]

Mit share$ versteckt man Shares auch für berechtigte Benutzer.

Da SAMBA ABE kann, muss man das irgendwo aktivieren können, zur Not in der smb.conf

Samba: How to enable Access Based Enumeration - Projective Manuals - 5.6

In order to enable Access Based Enumeration for Samba, please add the following lines to the share definition in the “smb.conf”. hide unreadable = Yes access...

manuals.projective.io

Da wird es sein, unter dem jeweiligen Share (Nicht Services-Tab, sondern dem einzelnen Share).

 

[hs_warez]

Na ja, nutzt so eine Funktion Keiner außer mir?


Was muss ich denn dann aktivieren/deaktivieren?
"browsable, homeshare,..."


LG

 

[DJDark]

Na ja, nutzt so eine Funktion Keiner außer mir?


Was muss ich denn dann aktivieren/deaktivieren?
"browsable, homeshare,..."


LG

Vielleich hatte bislang noch keiner das Bedürfniss etwas vor seiner Freundin zu verstecken

Mit share$ versteckt man Shares auch für berechtigte Benutzer.

Da SAMBA ABE kann, muss man das irgendwo aktivieren können, zur Not in der smb.conf

Samba: How to enable Access Based Enumeration - Projective Manuals - 5.6

In order to enable Access Based Enumeration for Samba, please add the following lines to the share definition in the “smb.conf”. hide unreadable = Yes access...

manuals.projective.io

Kannst aber trotzdem im Explorer darauf zugreifen, musst es nur direkt aufrufen (\\server\versteck$)

 

[Gen8 Runner]

Na ja, nutzt so eine Funktion Keiner außer mir?


Was muss ich denn dann aktivieren/deaktivieren?
"browsable, homeshare,..."


LG

Nein, ich habe es bis jetzt noch nicht gebraucht & somit nicht genutzt.
Ich würde einfach von "Default share parameters" zu "No Presets" wechseln und dann noch den Haken bei ABE reinsetzen und schauen, ob damit nicht schon alles erfüllt ist.

Mit den bei "Default share parameters" gewähählten Einstellungen fahre ich seit Jahren gut, bis auf einmal den Papierkorb aktiviert.

 

[hs_warez]

Vielleich hatte bislang noch keiner das Bedürfniss etwas vor seiner Freundin zu verstecken


Kannst aber trotzdem im Explorer darauf zugreifen, musst es nur direkt aufrufen (\\server\versteck$)

Das mit der Freundin war ein Beispiel - sollte ich mal Gäste haben, muss es ja nicht sein, dass die dann meine ganze Ordnerstruktur sehen, wenn sie z.B. nur einen Ordner "brauchen".

Nein, ich habe es bis jetzt noch nicht gebraucht & somit nicht genutzt.
Ich würde einfach von "Default share parameters" zu "No Presets" wechseln und dann noch den Haken bei ABE reinsetzen und schauen, ob damit nicht schon alles erfüllt ist.

Mit den bei "Default share parameters" gewähählten Einstellungen fahre ich seit Jahren gut, bis auf einmal den Papierkorb aktiviert.

Werd's mal testen - danke!

LG