Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: kuifje015 op 19 maart 2019, 15:48:33
-
Goedemiddag allemaal, ik zit met het volgende "probleem".
Ik heb in de basis een aantal gebruikers en gedeelde mappen aangemaakt. Daarbij heeft iedere gebruiker zijn of haar eigen privé-map. Daarnaast zijn er ook nog een aantal mappen die door meerdere gebruikers gebruikt kunnen worden zoals bijvoorbeeld de map muziek. Met rechten en machtigingen heb ik het aardig dichtgetimmerd voor wat betreft de toegang tot die mappen, zowel de persoonlijke- als ook de privé-mappen.
Nu is het alleen zo dat gebruikers in verkenner mappen kunnen zien waar ze geen machtiging voor hebben. Het openen van die map lukt voor die desbetreffende gebruiker niet tenzij ze over de juiste inloggegevens beschikken. Aangezien het niet de bedoeling is dat ze in die mappen kunnen komen heeft het ook geen toegevoegde waarde dat ze die mappen met verkenner kunnen zien of kunnen benaderen.
Nu de vraag, bestaat er een mogelijkheid waarmee ik deze mappen voor niet gemachtigde gebruikers in verkenner kan verbergen? Ik weet dat ik bij de instellingen van de gebruiker "verberg deze gedeelde map in "Mijn netwerklocaties"" aan kan vinken waarmee de map "onzichtbaar" wordt. Alleen is het nadeel van deze handeling dat ik als beheerder de map ook niet meer in mijn verkenner kan zien. Wie kan mij verder helpen? Bij voorbaat dank!
-
bestaat er een mogelijkheid waarmee ik deze mappen voor niet gemachtigde gebruikers in verkenner kan verbergen?
Dit is volgens mij al eens eerder aan de orde geweest en blijkt dat dit niet mogelijk is.
-
Volgende keer ook <ENTERS> geven, leest wel zo makkelijk(er).
-
Done.
-
Allen bedankt voor de reacties. Aangezien ik hier op het forum geen bevredigende oplossing heb gekregen heb ik dezelfde vraag voorgelegd aan de support van Synology. Hieronder hun eerste reactie. Op deze reactie heb ik gevraagd of het in de toekomst meegenomen kan worden in een DSM update. Daaronder staat de tweede reactie van de helpdesk medewerker. Ik post het hier omdat ik denk dat er meer mensen tegen dit "probleem" aan lopen.
Hello Ronald,
Thank you for contacting Synology support.
Sta ons toe om in het Engels te reageren, samen met Google Translation, aangezien meertalige ondersteuning op dit moment beperkt is.
Helaas is dit een bekend gedrag van Windows ACL permissies. Als een gebruiker zonder rechten probeert toegang te krijgen tot een gedeelde map via het Windows File Sharing protocol, kan hij geen mappen of bestanden in de gedeelde map bekijken. Hij kan de map echter nog steeds zien. Sorry voor het ongemak dat dit kan hebben veroorzaakt voor uw workflow.
Als er een probleem is, neem dan gerust contact met ons op.
== Het bovenstaande antwoord is vertaald door Google Vertaling. Laat het ons alstublieft weten als het bericht niet begrijpelijk of ongepast is. ==
[English Version]
Unfortunately, this is a known behavior from Windows ACL permissions. By design, if a user without privileges attempts to access a shared folder via Windows File Sharing protocol, he will not be able to view folders or files within the shared folder. However, he will still be able to see the folder. Sorry for the inconvenience this may have caused to your workflow.
If there is any problem, please feel free to contact us.
--
Best Regards,
Abdoul M.
Technical Support Engineer
Goodmorning Abdoul, thanks for your answer. Last question, is it possible for Synology to solve this issue in a later update or is it a Windows problem? Thanks again, Ronald.
Dear Ronald,
Thank you for the feedback.
This is the DSM system design, If you have allowed a user to access a subfolder he will still be able to see the root folder but cannot access it.
However, you could address this by using users' home folder since every user can only access their home folder If they don't have admin right.
You can store their folder in their respective home folder, then map the home folder on each user PC. Thank you.
--
Best Regards,
Abdoul M.
Technical Support Engineer
Synology Incorporated
-
… Aangezien ik hier op het forum geen bevredigende oplossing heb gekregen heb ik dezelfde vraag voorgelegd aan de support van Synology ...
Tja, als je hier (door terzake kundigen) verteld wordt dat het niet kan, dan geloof je dat kennelijk gewoon niet. En vraag je het gewoon opnieuw, maar dan aan Synology support. En als je daar hetzelfde antwoord krijgt herhaal je hier met veel tam-tam wat je hier al eerder al is verteld ...
-
Zonder dat ik het heb uitgeprobeerd op Synology, het gaat hierbij om een feature die bij Windows Servers "Access Based Enumeration" heet, ofwel mappen waar geen toegang toe is niet laten zien.
In Samba kan dat ook op de volgende manier (van een willekeurige andere site)
1. In SSH command line, edit the Samba config file:
vi /etc/config/smb.conf
2. Under the [global] section, add:
hide unreadable = yes
Nogmaals, of dit ook kan en zal werken op Synology, ik heb het niet getest, maar aangezien ik verwacht dat Samba het onderliggende systeem is zou dit mogelijk ook moeten kunnen....
-
Ik wilde bovenstaande proberen, maar om de smb.conf te editten heb ik natuurlijk toegang nodig. Met mijn ww van de hoofdgebruiker (met admin rechten) krijg ik echter een Permission denied. Daarop ook deze gevonden: https://www.synology-forum.nl/synology-dsm-6-2/omschakelen-naar-root-niet-mogelijk/msg272782/#msg272782 maar hier kom ik niet mee verder. Heb nooit een admin wachtwoord ingesteld (of ben ik dat nu alweer vergeten?) en wachtwoord van mijn hoofdgebruiker pakt tie niet (bij commando sudo -i)
Wat zie ik over het hoofd om toch de smb.conf op mijn nas te kunnen aanpassen?
-
Geef het wachtwoord in van de hoofdgebruiker (met admin rechten).
-
Zie ook hier (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/).
-
Ik wilde bovenstaande proberen, maar om de smb.conf te editten
En als je ook de mac bestandservice hebt aanstaan, zien mensen die het afp protocol gebruiken weer wat anders. ;) Maar gelukkig laat die de mappen zonder rechten direct al niet zien.
Dan heb je nog WebDav. Als je dat protocol actief hebt, zal dat ook niet reageren van een edit van de smb.conf.
-
Geef het wachtwoord in van de hoofdgebruiker (met admin rechten).
Dat ben ik, en die gebruik ik dan ook.
Zie ook hier (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/).
Mijn main pc waarmee ik inlog heeft als OS MX Linux, via een terminal log ik via ssh in op de synology met die hoofdgebruiker (dit gaat automatisch (dus geen ww meer nodig) want dat heb al eerder ingesteld voor het automatisch backuppen van mappen via rsync).
Daarna gebruik ik vi om de smb.conf te editten maar de nieuwe file opslaan kan niet. Vandaar dat ik daarna dit wilde doen via sudo vi smb.conf
maar als ik dan het juiste ww van diezelfde hoofdgebruiker intik krijg ik toch Permission denied.
-
Het probleem is, dat de map /etc/config waarin smb.conf zou moeten staan, niet bestaat, dus daarom krijg je "Permission denied"
Dus, wat hier staat (https://www.synology-forum.nl/firmware-algemeen/mappen-verbergen-voor-niet-gemachtigden/msg267152/#msg267152), is inmiddels achterhaald.
Even gezocht, je moet hebben: /etc/samba/smb.conf en /etc.defaults/samba/smb.conf
(DSM 6.2.3-25426 Update 3)
-
Klopt, ik zag de verandering ook. Bij mij werkt het volgende gewoon:
sudo nano /etc/samba/smb.conf
Ik heb daarna het volgende toegevoegd:
hide unreadable = yes
Dit staat er dan in. Maar zodra ik in de geavanceerde SMB instelling bij DSM iets verander dat in de smb.conf moet staan, is mijn verandering weer weg. Dus als je instellingen in DSM veranderd, zul je de conf file handmatig moeten aanpassen.
Ik was overigens verbaasd dat ik mijn echte naam in deze config file tegenkwam. (hier even aangepast):
ldap admin dn=uid=Briolet,cn=users,dc=dsm,dc=mijndomein,dc=nl
ldap passwd sync=yes
ldap suffix=dc=dsm,dc= mijndomein,dc=nl
passdb backend=multi:smbpasswd,ldapsam:ldaps://localhost
syno ldap support=yes
Blijkbaar staat het hele LDAP gebeuren ook in deze config. Dus als je bij LDAP iets veranderd zal een eigen aanpassing in de de smb.conf waarschijnlijk ook weer weg zijn.
Edit: Dat DSM alle oude aanpassingen weggooit bij een verandering, doet vermoeden dat er nog ergens een template van deze config staat, die DSM als basis gebruikt voor de aanpassingen. Om iets permanent aan te passen moet je dan ook die template file aanpassen. (In elk geval werkt het zo bij de settings van Mail Server, waar ik wel ervaring mee heb)
-
@Birdy : dat ik de smb.conf in een andere map moest zoeken was ik al achter (maar vergeten te melden). Het is ook die file die ik probeer te editten
Nu in ieder geval nano gevonden in SynoCli File Tools ;-) Vind deze altijd fijner werken dan vi
@Briolet : het is overigens geen Permission Denied die ik krijg. De file is write protected dus ik wilde de permissies aanpassen. Daarvoor een sudo chmod 765 in gedachte, maar dan wordt er gevraagd om ww en die vul ik in, maar dan is het Sorry, try again. Er gaat dus simpel weg iets mis met mijn wachtwoord. Dit is het ww aangemaakt voor de hoofdgebuiker bij het in gebruik nemen van de nas een paar weken terug. Deze werk wel voor bv de rsync vanaf mijn pc of als ik via een andere PC in het netwerk wil inloggen op DSM.
Misschien moet ik hiervoor maar een nieuw topic aanmaken?
-
…wachtwoord van mijn hoofdgebruiker pakt tie niet (bij commando sudo -i)
Bij het sudo commando moet je ook niet het ww van een andere gebruiker gebruiken, maar van jezelf. En sudo kun je alleen gebruiken als administrator.
-
Dan heeft die hoofdgebruiker geen admin rechten, dus is die geen lid van de administrator groep.
@Briolet
Die template is /etc.defaults/samba/smb.conf
-
Dat zou de template kunnen zijn. Ik twijfel echter omdat de volgorde van de regels zo anders is. Maar dat is dan een kwestie van testen of toevoegingen die je daar maakt ook in de echte conf terecht komen nadat je in DSM iets aanpast.
-
…wachtwoord van mijn hoofdgebruiker pakt tie niet (bij commando sudo -i)
Bij het sudo commando moet je ook niet het ww van een andere gebruiker gebruiken, maar van jezelf. En sudo kun je alleen gebruiken als administrator.
Dan heeft die hoofdgebruiker geen admin rechten, dus is die geen lid van de administrator groep.
@Briolet
Die template is /etc.defaults/samba/smb.conf
Dat ben ik ook zelf, ik ben hoofdgebruiker en ben lid van de administrator groep.
Dus de hoofdgebruiker die via ssh kan inloggen op de nas, kan daarna niet de smb.conf aanpassen of bv. een chmod uitvoeren om de file writable te maken.
Overigens dank dat jullie me proberen te blijven helpen. Mocht ik op sommige punten meer duidelijkheid moeten verschaffen, laat dat dan weten, ik zoek rustig verder...
-
Ik heb getest en kom tot de conclusie, dat een gebruiker met admin rechten niet een commando kan uitvoeren met sudo, ik krijg dan ook: "Sorry, try again.", na het ingeven van het password.
Wat wel kan, is eerst root worden met het commando sudo -i
Hierna kan het commando gegeven worden:
nano /etc/samba/smb.conf
-
Het werkt bij mij wel:
sudo nano /etc/samba/smb.confDenk dat ik een foutje had gemaakt. ::)
Birdy heeft admin rechten:
[attach=1]
Birdy kan smb.conf wijzigen met sudo:
[attach=2]
-
:o :o Ik kan mezelf wel voor mijn kop slaan. Toch mijn ww net niet helemaal goed ingetikt....
Dus ook bij mij werkt het. Nogmaals dank!
-
Als ik de aanpassing in de smb.conf doe en Samba herstart kan ik nog steeds mappen zien die permissie 700 hebben via een client (een mac via smb in dit geval). Is bij jullie dit anders?
wel is het zo dat ik test met een user via smb die ook admin is, maakt dat uit?
mvg,
Peter
-
Wel al een wat ouder topic, maar hier hetzelfde probleem in DSM7.
Mijn huidige /etc/samba/smb.conf ziet er zo uit:
# Copyright (c) 2000-2019 Synology Inc. All rights reserved.
#
#
# ______ _______
# ( __ \ ( ___ )
# | ( \ ) | ( ) |
# | | ) | | | | |
# | | | | | | | |
# | | ) | | | | |
# | (__/ ) | (___) |
# (______/ (_______)
#
# _ _______ _________
# ( ( /| ( ___ ) \__ __/
# | \ ( | | ( ) | ) (
# | \ | | | | | | | |
# | (\ \) | | | | | | |
# | | \ | | | | | | |
# | ) \ | | (___) | | |
# |/ )_) (_______) )_(
#
# _______ _______ ______ _________ _______
# ( ) ( ___ ) ( __ \ \__ __/ ( ____ \ |\ /|
# | () () | | ( ) | | ( \ ) ) ( | ( \/ ( \ / )
# | || || | | | | | | | ) | | | | (__ \ (_) /
# | |(_)| | | | | | | | | | | | | __) \ /
# | | | | | | | | | | ) | | | | ( ) (
# | ) ( | | (___) | | (__/ ) ___) (___ | ) | |
# |/ \| (_______) (______/ \_______/ |/ \_/
#
#
# IMPORTANT: Synology will not provide technical support for any issues
# caused by unauthorized modification to the configuration.
[global]
printcap name = cups
winbind enum groups = yes
include = /var/tmp/nginx/smb.netbios.aliases.conf
admin users = [member=40703]Ad[/member]\Domain Admins,[member=40703]Ad[/member]\Enterprise Admins
encrypt passwords = yes
min protocol = SMB2
security = user
local master = no
realm = *
syno sync dctime = no
passdb backend = smbpasswd
printing = cups
max protocol = SMB3
winbind enum users = yes
load printers = yes
workgroup = WORKGROUP
hide unreadable = yes
access based share enum = yes
Maar na een herstart van samba service door:
synosystemctl restart pkg-synosamba-smbd.service
zie ik nog steeds alle mappen, ook degene waar geen toegang voor is, het benaderen van die mappen gaat gelukkig niet..
Edit: De laatste twee regels in smb.conf heb ik zelf toegevoegd, de rest is door DSM7 zelf gedaan.