Knowledgebase
Netzwerkzugriffsprobleme häufige Rechteproblematik und Tipps zu SAMBA sowie der Einbindung des QNAP NAS an eine Windows Arbeitsgruppe
Posted by Mathias Fuerlinger on 22 December 2018 12:18 AM

Netzwerkzugriffsprobleme häufige Rechteproblematik und Tipps zu SAMBA sowie der Einbindung des QNAP NAS an eine Windows Arbeitsgruppe.

Bitte zunächst beachten - da dies oft zu Fehlern führt: Bei jedem QNAP NAS ist immer das "DENY"-Recht das stärkste Zugriffsrecht! 
Überprüfen Sie daher zunächst die Zugriffsrechte über das QNAP GUI mit der App "Benutzer" und im Menü "Freigabeordner". Nutzen Sie die Rechte-Preview Funktion indem Sie "Berechtigungen für Freigabeordner bearbeiten" anzeigen lassen. Jetzt können Sie für jeden Ordner und Benutzer, bei aktivierten ACL - auch für Unterordner - die verwendeten Zugriffsrechte sehen und bearbeiten. 

Mit dieser Hilfe soll vor allem bei eingeschränkten Dateizugriff eine Lösung gefunden werden. Falls aber kein Benutzer inkl. admin keinen Datei-Zugriff auf das NAS haben, sollte zunächst folgendes geklärt werden:
Läuft der Samba Dienst auf dem NAS? Das zeigt der folgende Befehl:
# ps | grep smb
Falls "nein" - müsste zunächst der SAMBA Dienst auf Standard zurückgesetzt werden - das geht am schnellsten mit den 3-Sek Reset - Details hier: https://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/502/

 

Falls individuelle Zugriffsrechteproblematiken gelöst werden sollen, folgen hier einige Lösungsvorschläge.
Folgende Ansätze zur Wiederherstellung der Standardfreigaberechte auf dem QNAP NAS:

Zunächst auf der Windows Seite:
Im DOS Fenster: "net use" eingeben um grundsätzlich die Netzwerk-Verbindung/Rechte zu analysieren.

Dann mit den Befehlen "net use * /delete" bisherige - möglicherweise in Konflikt stehende - Netzwerkverbindungen löschen:
net use * /delete /y (delete all connections)
net use \\nas-name\folder /delete /y (delete single connection)

Nun entweder über das GUI von QNAP, oder weiter unten im Text - etwas detaillierter über die Linux Konsole:
In der App "Benutzer":

  • alle angelegten QNAP User löschen
  • alle Freigabeordner auflösen (nicht die Daten löschen - nur die Verweise - im Bild unter [4]. Die Angaben zu den Share-Foldern notieren.)
  • das NAS neu starten
  • die Standardfreigaben wiederherstellen ("Restore Default Share Folders").

  • jetzt die notwendigen Benutzer wieder neu anlegen
  • und noch die entsprechenden Rechte der Freigabeordner einrichten.

Falls die obigen Zeilen nicht helfen, oder sogar kein admin Zugang mehr möglich ist bitte einen 3-Sekunden Reset auslösen - hierdurch werden keine Daten gelöscht, aber u.a. Netzwerkeinstellungen und der Zugang für den Admin auf den Standardwert gesetzt. Details zum Reset hier: https://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/502/

Im nun folgenden Teil werden LINUX Befehle für die Eingabe auf dem QNAP CLI vorgestellt. Bitte geben Sie LINUX Befehle nur dann ein, wenn Sie absolut sicher sind was diese bedeuten. Häufig sind individuelle Anpassungen an die jeweilige Systemumgebung notwendig, auf welche hier im Detail NICHT eingegangen wird.
Der Autor oder QNAP übernehmen keinerlei Haftung für Schäden oder Datenverlust durch hier gezeigte Lösungsvorschläge. Im Zweifel bitte immer einen Fachhändler oder Systemadministrator hinzuziehen.

Nun auf NAS Seite - durch manuellen Zugang die Netzwerkverbindung und zugehörige Zugriffsrechte weiter analysieren und testen:

Zunächst temporär die smb-Logfunktion auf dem NAS "einschalten". Hierzu folgende Änderung in der smb.conf Datei vornehmen (vorher Sicherheitskopie der smb.conf anlegen!):

# vi /etc/smb.conf

log level = 5
max log size = 1000

Danach smb-Service neu starten mit Befehl:
# /etc/init.d/smb.sh restart

Jetzt SMBD-Log Dateien löschen mit Befehl:
# echo "" > /var/log/log.smbd

Jetzt auf der Windows Seite eine Netzwerkverbindung manuell erstellen:
Mit folgendem Befehl im DOS - Fenster: net use \\nas\folder /user:[domainname\]username

zum Beispiel: 
in einem Windows-Arbeitsgruppen Netzwerk:

login to NAS (10.0.0.1) share Download by a local NAS user hans:
NET USE \\10.0.0.1\Download /user:hans


in einer Windows Domaine:

login to NAS (10.0.0.1) share Download by a domain “QNAP” user hans:
NET USE \\10.0.0.1\Download /user:QNAP\hans
(Bei Netzwerksanbindungsproblemen an eine Windows Domaine bitte auch folgende Inhalte prüfen: https://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/487/)


Wieder auf der LINUX Konsole des NAS die smbd Log-Datein auswerten - folgender Befehl:
# vi /var/log/log.smbd

Nach dem String "NT_STATUS" suchen.
Man erhält Ausgaben wie: "AUTH-Problem", "wrong_password", "no_such_user"

Wichtig: Nach Abschluss der Analysen die vorher gemachten Änderungen an der smb.conf Datei zurücksetzen. "max log size = 10" und "log level = 10". Sonst läuft die Ramdisk voll!


Falls bei der Zuordnung der Zugriffsrechte mit "ACL" gearbeitet wurde können Rechte für Subfolder individuell vergeben werden.
Um tief verschachtelte individuelle und falsch gesetzte Zugriffsrechte auszuschließen im übergeordneten Ordner die Rechte neu setzen und vererben.

Auf der Konsole können die entsprechenden Rechte und "acl" oder "noacl" pro Share geprüft werden:

Zunächst prüfen ob für den jeweiligen mountpoint die Option "acl" gesetzt wurde - hierzu Befehl:
# mount 
eingeben und die Optionen des mounts prüfen.
Ausgabe z.B. (hier letzter Optionseintrag: "noacl"):
/dev/mapper/cachedev1 on /share/CACHEDEV1_DATA type ext4 (rw,usrjquota=aquota.user,jqfmt=vfsv0,user_xattr,data=ordered,data_err=abort,delalloc,nopriv,nodiscard,noacl)

Die ACLs können auf dem CLI mit "getfacl" gelesen werden und mit "setacl" geschrieben werden.
Hier gibt es weitere Hilfen/Manpages für getacl: http://www.linuxcommand.org/man_pages/getfacl1.html
und hier für setacl: http://www.linuxcommand.org/man_pages/setfacl1.html

und allgemein zu POSIX ACL hier: https://drive.google.com/file/d/0B2ipctij9EKqYjRjdlJjVnRSNHc/view

Bitte beachten: Falls die Zugriffsrechte von NAS Share-Foldern auf der Windows Seite eingestellt werden (rechte Maustaste + Eigenschaften), oder falls alle NTFS-Rechte (hier gibt es bis zu 13 Zugriffsrechtsarten) genutzt werden sollen bitte ACL auf dem QNAP NAS deaktivieren.

Noch folgender Hinweis: Mit dem folgenden Befehl auf dem CLI können auf höchster Freigabeebene alle ACL-Rechte zurückgesetzt werden: setfacl –b /share/MD0_DATA or /share/CACHEDEV1_DATA
(ggf. müssen Pfadangaben angepasst werden!)

Falls alle hier aufgeführten Tipps nicht zielführend sind, ist vermutlich das Neu aufsetzen des NAS und anschließendes Rückspielen der Daten die schnellste Methode.

Tipp: Hilfe bei Anbindungsproblemen an eine Windows Domaine hier: https://helpdesk.qnap.com/index.php?/Knowledgebase/Article/View/487/

(23 vote(s))
Helpful
Not helpful

Comments (0)