Rechte/ACL's in Verzeichnissen nach Migration 6.2 > 7.1

Jens · 28. November 2022 um 09:23

Hallo,

ich habe gestern final einigermaßen erfolgreich unseren Server von 6.2 nach 7.1 migriert. Dabei habe ich mich an die Anleitung gehalten und habe User (sind nur KuK) und Daten mit sophomorix-vampire migriert.

Leider passen offenbar die Rechte einiger Userverzeichnisse trotzdem nicht. Beim Zugriff auf manche Verzeichnisse erhalten KuK nun unter Windows die Fehlermeldung „Sie haben nicht die erforderliche Berechtigung.“.

Weder

sophomorix-repair --teacher-home

noch

sophomorix-repair --all

haben Abhilfe gebracht.

Das Schreiben (und auch löschen) neuer Dateien im Root der jeweiligen Benutzer (also z.B. //server/default-school/teachers/jhe) funktioniert, in kopierten Unterverzeichnissen geht das nicht.

Wer kann mir helfen, die ACL’s zu fixen?

Beste Grüße,
Jens

maxEG · 28. November 2022 um 16:27

Hallo Jens,
ich habe das gleiche Problem. Mein Verdacht: es sind „einfach“ die Schreibrechte auf dem Server. Ich habe bei meinem Testbenutzer probehalber mal ein chmod 777 gesetzt, hat es funktioniert. Das für alle zu machen, hab ich mich nicht getraut, weil es (wohl) nicht der richtige Weg ist. Wobei ich denke, wenn die Rechte „auf der Platte“ nicht stimmen, kann die Freigabe sagen, was sie mag, aber ich kenne mich zu wenig aus. So sieht das bei mir bei einem Schüler aus:

rwxrwsr-x+  2             12230 10000 4096 Sep 29  2017  Einstellungen
drwxrwsr-x+  2             12230 10000 4096 Apr 27  2021  GeoGebra_IMP
drwxrws---+  2 LMN\testertoni users 4096 Nov 25 14:53  IMP
drwxrwsr-x+  4             12230 10000 4096 Jul  5  2021  IMP_Klasse_8

Der IMP-Ordner wurde letzte Woche angelegt, hier geht schreiben, in die anderen Order darf der Nutzer nicht schreiben.

Bin gespannt, was rauskommt.
LG
Max

Jens · 29. November 2022 um 19:26

Hallo Max, hallo LMN-Community,

ich glaube weniger, dass die Unix-Rechte das Problem sind, sondern die Windows ACL’s. Ich habe für einige wenige User, für die ich gestern schnell eine Lösung brauchte, diese mit

setfacl --recursive --modify user:<username>:rwX,default:user:<username>:rwX <pfad_zu_user_home>

gesetzt und habe damit zumindest eine vorübergehende Lösung geschaffen.

Die Frage ist: was sagen die ACL-Profis zu diesem Problem? Ist dies eine zulässige Lösung? Wenn ja, wäre es ja recht einfach, das Kommando per Script über alle User laufen zu lassen.

Und lauert da ggf. noch ein kleiner Migrations-Bug in sophomorix-vampire?

Beste Grüße,
Jens

baumhof · 29. November 2022 um 20:52

Hallo,

Und lauert da ggf. noch ein kleiner Migrations-Bug in sophomorix-vampire?

… ich habe auch migriert (zwei Einrichtungen) und hatte keinerlei
Probleme mit den ACLs.

Wie sehen den die unix Rechte aus im Verzeichnis?
Vor allem: wer ist den Besitzer der Dateien?

LG

Holger

Jens · 3. Dezember 2022 um 16:52

Hallo,

sorry, bin ein paar Tage nicht dazu gekommen: die Unix-Rechte im teacher-Verzeichnis sehen so aus:

drwxrwx---+ 10 3000000 users  4096 Nov 16 13:46 jhe

Und die ACL von Dateien von migrierten Nutzern, die ich nicht manuell angefasst habe, sieht so aus:

# file: xy.odt
# owner: 3000000
# group: users
user::rwx
user:root:rwx
user:3000010:rwx
user:3000013:rwx
group::---
group:users:---
group:LMN7\134domain\040admins:rwx
group:LMN7\134admins:rwx
group:LMN7\134global-admins:rwx
mask::rwx
other::---

Bei den Nutzern, die ich in meiner Not händisch angefasst habe (s. Post oben), dann so:

# file: xy.doc
# owner: root
# group: root
user::rwx
user:LMN7\134jhe:rwx
group::rwx
mask::rwx
other::r-x

Beste Grüße und wieder einmal vielen Dank!
Jens

Jens · 4. Dezember 2022 um 12:54

Hallo,

ich habe mir das jetzt nochmal einige Zeit genauer angeschaut und auch mit meinem LMN7-Testserver, auf dem es keine migrierten Daten gibt, verglichen.

Ich habe auf dem Produktivserver auch nochmal

sophomorix-repair --all

laufen lassen. Das repariert aber ja „nur“ die Strukturen der Userverzeichnisse selbst (und ggf. LMN-spezifischer Verzeichnisse - das habe ich mir nicht angesehen), nicht aber die Rechte der migrierten Daten darin.

Nach sophomorix-repair sieht die ACL eines Teacher-Verzeichnisses z.B. so aus:

root@server:/srv/samba/schools/default-school/teachers# getfacl jhe
# file: jhe
# owner: 3000002
# group: users
user::rw
user:root:rwx
user:3000002:rwx
user:3000010:rwx
user:3000013:rwx
user:LMN7\134jhe:rwx
group::---
group:users:---
group:LMN7\134admins:rwx
group:LMN7\134global-admins:rwx
group:LMN7\134jhe:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000002:rwx
default:user:3000010:rwx
default:user:3000013:rwx
default:user:LMN7\134jhe:rwx
default:user:3000090:rwx
default:group::---
default:group:users:---
default:group:LMN7\134admins:rwx
default:group:LMN7\134global-admins:rwx
default:group:LMN7\134jhe:rwx
default:group:\134owner\040rights:rwx
default:mask::rwx
default:other::---

Ein darin liegendes (migriertes) Unterverzeichnis hat aber diese ACL:

root@server:/srv/samba/schools/default-school/teachers/jhe# getfacl Bilder
# file: Bilder
# owner: 3000000
# group: users
user::rwx
user:root:rwx
user:3000010:rwx
user:3000013:rwx
group::---
group:users:---
group:LMN7\134domain\040admins:rwx
group:LMN7\134admins:rwx
group:LMN7\134global-admins:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:3000000:rwx
default:user:3000010:rwx
default:user:3000013:rwx
default:group::---
default:group:users:---
default:group:LMN7\134domain\040admins:rwx
default:group:LMN7\134admins:rwx
default:group:LMN7\134global-admins:rwx
default:mask::rwx
default:other::---

Nach allem, was ich jetzt über ACLs gelernt habe, kein Wunder, dass der Nutzer nicht darauf zugreifen kann.

Mir stellt sich jetzt hauptsächlich die Frage: wie biege ich das so wieder gerade, dass ich nicht mehr kaputt mache, als repariere (und das in endlicher Zeit)? Kann mir da jemand einen Tipp geben? Vom „manuellen rumfuschen“ in den Rechten der Userverzeichnisse wird ja allenthalben (vermutlich zu Recht) abgeraten. Nur ist der LMN7-Server inzwischen produktiv …

Schönen Sonntag!
Jens

MachtDochNix · 5. Dezember 2022 um 05:31

Hallo und eine Frage an @jeffbeck ,

siehst du eine Möglichkeit für ein sophomorix-repair-files-rights?

Beste Grüße

Jens · 11. Dezember 2022 um 07:42

Hallo zusammen,

gibt es hier noch Tipps/Hinweise? Ansonsten muss ich mal überlegen, wie ich das „manuelle rumfuschen“ genau mache. Der Server ist migriert und (mit dieser Einschränkung) produktiv.

Schönen Sonntag!
Jens

baumhof · 13. Dezember 2022 um 13:19

Hallo Jens,

gibt es hier noch Tipps/Hinweise? Ansonsten muss ich mal überlegen, wie
ich das „manuelle rumfuschen“ genau mache. Der Server ist migriert und
(mit dieser Einschränkung) produktiv.

tut mir Leid: wenn sophomorix da keinen Befehl für bereit hält, dann
weiß ich auch nicht weiter.

LG

Holger