Verzweiflung bei Freenas Permissions

[berto]

Hi liebe Leute,

wie der Titel schon sagt, verzweifle ich langsam...
Ich hatte jetzt einige Jahre lang eine Synology NAS, die allerdings in letzter Zeit sich immer wieder aus dem Netzwerk verabschiedet und nur ein physisches drücken auf den Ausschalter durch einen restart das Problem behebt.

Ich habe mir vor einiger Zeit einen Server mit Freenas aufgesetzt und habe mir gedacht, dass zumindest einfache Fileshares einfach zu verwalten sind (und ich mich später in komplexere Dinge einlesen kann).

Ich hatte auch schnell erste Erfolge damit gefeiert: ich habe einige Datasets angelegt und Berechtigungen darauf vergeben und das hat auf meinem PC auch gut funktioniert. Nur leider hat es am Laptop schon einige Probleme gemacht und am Laptop meiner Freundin, bekomme ich mit ihrem Usernamen gar nichts eingerichtet. Ich bekomme immer die Fehlermeldung, dass die Verbindung fehlgeschlagen ist und Username/passwort scheinbar falsch sind (stimmt nicht).
Ich kann mich auf meinem Laptop mit ihrem User auf ihr Share verbinden und auf ihrem Laptop mit meinem User auf mein Share. Nur die Kombination aus ihrem Laptop und ihrem User funktioniert einfach nicht.
Alle Rechner sind Windows 10.
Ich hatte schon die Idee, dass es ein Problem gibt, da der lokale Benutzer gleich heißt wie der freeNas User. Habe als Usernamen dann also sowohl <user> als auch FREENAS\<user> versucht. Mit keinem Erfolg.

Hat jemand eine Idee, was ich noch ausprobieren / debuggen könnte?

EDIT: Das Dataset ist in den Permissions auf Windows gestellt. und wenn ich mich mit dem Admin user verbinde und mir die Windows permissions anzeigen lasse, dann hat FREENAS\<user> volle Berechtigungne.

vielen Dank und lg,

 

[Merle]

„IP\USER“ wenn das Ding sich nicht am DNS registriert hat, oder „.\USER“ mal versuchen. Sonst ist mit deinem „FREENAS“ natürlich der Hostname gemeint, oder? Es muss der Hostname sein.
Ich würde auch auf das Konto tippen. Oder auf atypische Sonderzeichen in User oder Passwort.

 

[berto]

„IP\USER“ wenn das Ding sich nicht am DNS registriert hat, oder „.\USER“ mal versuchen. Sonst ist mit deinem „FREENAS“ natürlich der Hostname gemeint, oder? Es muss der Hostname sein

Ok vielen Dank, das werde ich heute am Abend probieren. Also der hostname (über den die nas im browser und explorer zu erreichen ist) ist "freenas.local" oder die IP. Also stimmen hier die Windows permissions nicht? Ich habe leider bis jetzt noch nie mit Windows permissions gearbeitet.. muss ich mich dann also mit dem root user verbinden und in den Folder-Eigenschaften den User als freenas.local\<user> hinzufügen statt FREENAS\<user>?

Oder auf atypische Sonderzeichen in User oder Passwort.

das kann ich ausschließen, da der username aus 3 normalen Kleinbuchstaben besteht und das passwort zu Testzwecken auf ein extrem einfaches gesetzt wurde inzwischen

 

[snaxilian]

Solange du keine zentrale Benutzerverwaltung nutzt (ActiveDirectory oder LDAP), dann hast du immer lokale Benutzerkonten. Lautet der DNS/Hostname deines NAS FREENAS und du hast eine Fritzbox, dann wäre der DNS-Name FREENAS.fritz.lokal.

Berechtigungen müssen wie bei jeder SMB/CIFS Dateifreigabe, egal ob auf einem Windows-Server, Linux oder eben BSD (nix anderes ist Freenas) sowohl auf Dateisystem/Dataset Ebene als auch im SMB-Server korrekt sein.

Ich empfehle die Lektüre der Dokumentation von Freenas, dort ist erklärt wie man entsprechendes einrichten kannst: https://www.ixsystems.com/documenta...iguring-authenticated-access-with-local-users

Eine gute Schritt-für-Schritt Anleitung ist z.B. dies hier: https://www.ixsystems.com/community...-configure-share-permissions-freenas-9.35276/
Bezieht sich zwar noch auf die alte GUI aber die Einstellungen gibt es so auch in der neuen GUI.

Wenn du damit nicht weiter kommst, zeige uns bitte die Einstellungen des Datasets sowie die Einstellungen der Freigabe und die Berechtigungen, die du von Windows aus dann auf dem Share gesetzt hast.

 

[Merle]

Du musst Windows nur mitteilen, dass es sich um den lokalen User auf remoteseite handelt.
Wenn das DNS Suffix von Client und NAS gleich ist (meist bei DHCP und registrieren am DNS, oft auch getrennt einstellbar) reicht der Hostname. Sonst FQDN. Oder IP.
Das muss nicht das Problem sein hier, ist es aber überraschend oft. Zum Ausschluss könntest du einen weiteren User auf der NAS anlegen, der in Windows nicht existiert. Z.B. test/test. Auf dasselbe Share berechtigen, und auf dem Problem-Client:
net use z: \\FREENAS-Hostname\Share test /user:FREENAS\test /PERSISTENT:NO
eingeben.

 

[berto]

@snaxilian @Merle Vielen Dank erstmal für die Antworten und den Lesestoff.
Bezüglich des DNS:
ich komme von dem Laptop sowohl über "freenas.local" als auch über die IP (192.168.1.205 (statisch)) hin.
Ich kann mich auch als root anmelden von besagtem Laptop aus und habe dann Zugriff auf alle Shares.
Dazu gebe ich beim Aufruf der Netzwerk-Location auch nur "root" als User ein, ohne Domäne.

Ich hatte auch schon die Vermutung, dass es ein Problem gibt, weil der lokale User gleich ist, wie der Nas User.

Um zu den Konkreten Daten zu kommen:
Der Nutzer und das Share heißt "ina". Ich habe jetzt einen neuen User angelegt der "inanas" heißt.
Leider ohne Erfolg.
Ich hänge hier jetzt ein paar Screenshots an, die die config von user, dataset und permissions zeigt.



Ich habe auch folgenden von Merle geposteten command probiert mit demselben Ergebnis:
net use z: \\192.168.1.205\ina /user:FREENAS\inanas /PERSISTENT:NO

 

[snaxilian]

Beim User muss unten rechts der Haken gesetzt werden bei "Microsoft Account". Die Erklärung warum liefert das Overlay beim Fragezeichen direkt daneben.

 

[berto]

@snaxilian das häkchen hab ich leider schon probiert. sowohl beim User der gleich heißt wie ihr Windows user als auch bei dem, der anders heißt

 

[snaxilian]

Dann musst du irgendwas anderes zerkonfiguriert haben bei dir...
aktuelles Freenas 11.2 U6, aktuelles Win 10 Pro 1903

User angelegt, Dataset erstellt, Permissions des Datasets gesetzt, Share angelegt. Unter Windows dann Netzlaufwerk hinzufügen \\ip.von.den.nas\berto-share und als Benutzername \\ip.von.dem.nas\berto & Kennwort.
Wenn du die Freigabe nicht per IP sondern DNS-Name setzt, musst auch den DNS-Namen beim User verwenden. Damit hab ich Schreibrechte auf den Share mit dem und nur dem User, andere kommen nicht drauf.

 

[h.kluncker]

Hat Ina zufällig ein leeres Passwort für Ihren Laptop?

 

[berto]

@h.kluncker sie verwendet den pin. ich weiß nicht ob am windows account noch ein passwort hängt. ist das ein problem?

 

[h.kluncker]

Ist schon ne weile her, dass ich mich mit sowas beschäftigt habe, meine Info kann also veraltet sein.

FreeNAS (Samba) setzt die Zugriffsberechtigung durch den lokalen Nutzer und Passwort. Wenn Windows jetzt kein, oder ein abweichendes, Passwort zum Nutzer "Ina" überträgt wird der Zugriff natürlich vereigert.
Zugriff ohne Passwort ist zumindest in Windows und vermutlich auch beim FreeNAS-Samba im Default deaktiviert.

 

[berto]

Wenn Windows jetzt kein, oder ein abweichendes, Passwort zum Nutzer[...]

Hmm Danke, aber bei meinem User sind freenas passwort und Windows passwort nicht ident und da funktionierts. aber ich hab ein passwort gesetzt auf jeden fall

 

[berto]

Benutzername \\ip.von.dem.nas\berto

Leider hab ichs immer noch nicht hinbekommen. bin knapp davor alles nocheinmal zu löschen (share, user, dataset) und nochmal anzufangen...
Stimmt das wirklich so? wenn ich nämlich einen usernamen beginnend mit "\\" eingebe bekomme ich die Fehlermeldung, dass das kein gültiges User-Format ist

 

[snaxilian]

Öhm, Tippfehler. Beim Share muss es natürlich mit \\ beginnen beim Benutzernamen reicht es ip.von.dem.nas\benutzername bzw. dns-name-des-nas\benutzername.

 

[berto]

Fall jemand über das Thema stolpern sollte: mittlerweile hab ich herausgefunden, was das Problem war und es war eine Kleinigkeit:
Die Folder Permissions des Pool folders (/mnt/main1) waren falsch und somit hatte der user keine execute permission auf dem Ordner.
Hab jetzt eine sinnvollere Gruppe Besitzer des Folders gemacht und vorsichtshalber noch execute für "other" vergeben. Jetzt scheint alles zu funktionieren