IFS-Berechtigungen

[KM]

Hallo,

im Green-Screen scheint das wohl auch einigermaßen zu funktionieren. Aber im Windows-Explorer überhaupt nicht. Ich hab jetzt zum Testen mal einen Benutzer angelegt und ihn für einen bestimmten Ordner berechtigt (*RWX bzw. *ALL für diesen Benutzer). Im Green-Screen kommt dieser Benutzer in den Ordner rein und sieht die Inhalte. Aber im Windows-Explorer kommt die Meldung "Zugriff verweigert". Ein anderer Benutzer, der genau dieselben Berechtigungen hat, kommt auch im Windows-Explorer in diesen Ordner.
Dem Testbenutzer hab ich auf Benutzerebene alle Berechtigungen gegeben (also Datenberechtigung *RWX und Objektberechtigung *ALL), und das auch bei den Parent-Ordnern. Bei *PUBLIC hab ich *EXCLUDE BZW. *NONE hinterlegt, weil ich nicht will, dass andere Benutzer zugreifen können. Meldung für den Testbenutzer "Zugriff verweigert". Wenn ich beim Ordner für *PUBLIC nun *RX eintrage, dann funktioniert der Zugriff, aber halt auch für alle anderen Benutzer.
Das macht irgendwie alles keinen Sinn. So kann man keine vernünftige Berechtigungsstruktur einrichten.

Gruß.
KM

[Christian Bartels]

Es gibt noch die Möglichkeit, dass ein Benutzer im NetServer "Disabled" ist, das spielt sich dann außerhalb des allgemeinen Berechtiungskonzeptes ab. Das kann man sehen, wenn man den IBM Navigator for i startet und dort auf Network -> Servers -> TCP/IP Servers geht. In der Liste der TCP/IP-Server gibt es den IBM i NetServer. Wenn man den auswählt, kann man die Aktion "Disabled User IDs" auswählen und kriegt dann die Benutzerprofile angezeigt, die aus irgendwelchen Gründen für den Zugriff aus Windows gesperrt sind. Hier kann man die Benutzer dann auch wieder freischalten.

Mit freundlichen Grüßen,
Christian Bartels.

[KM]

Das mit dem Netserver war jetzt schon mal ein guter Hinweis. Es lag zwar nicht an "Disabled Users". Das hatte ich vorher schon geprüft. Aber mir ist jetzt aufgefallen, dass für den Testbenutzer keine Kerberos-Authentifizierung eingerichtet war. Das hab ich jetzt gemacht und jetzt werden die Berechtigungen und Berechtigungslisten auf einmal korrekt geprüft.

Verstanden hab ich es jetzt aber trotzdem nicht. Warum werden Berechtigungen über eine Kerberos-Authentifizierung geprüft, aber beim normalen Verbinden eines IFS-Netzlaufwerks nicht?

Gruß,
KM

[Christian Bartels]

Ich kann nur spekulieren. Beim Einrichten von Kerberos für NetServer scheint man das einstellen zu können:

• If you select Passwords/Network authentication, clients that do not support Kerberos or clients that do support Kerberos but are not currently participating in a Kerberos realm use encrypted passwords to authenticate.

• If you select Network authentication, all clients must use Kerberos to authenticate with the server. Therefore, only clients that support Kerberos V5 can connect to IBM i NetServer after this support is enabled.

(Quelle: https://www.ibm.com/support/knowledg...lkrbv5auth.htm)

Es ist immer etwas schwierig, aus der Entfernung ohne genaue Kenntnis der Konfiguration aus der Fülle der Konfigurationsmöglichkeiten die Einstellung zu finden, die für das konkrete Verhalten verantwortlich ist.

Mit freundlichen Grüßen,
Christian Bartels.

[KM]

Also bei uns ist der Netserver mit "Passwords/Network Authentication" eingerichtet, weil es vereinzelt noch Benutzer geben könnte, die kein Kerberos verwenden. Ich vermute mal, dass es irgendwie mit dem Benutzernamen zu tun hat, denn *PUBLIC Berechtigungen funktionierten ja. Ich schätze mal, dass mit Kerberos andere Benutzernamen verwendet bzw. geprüft werden (z.B. Benutzer + Domain) und dass das dann nicht so recht zusammenpasst.

Naja, wie auch immer, mit Kerberos funktioniert es ja nun. Jetzt hätte ich aber noch eine letzte Frage. Wenn ich einen Ordner "Parent" habe und darunter die Ordner "Child1", "Child2" und "Child3". Jetzt will ich, dass einem bestimmten Benutzer unterhalb von "Parent" nur der Ordner "Child2" angezeigt wird. Die anderen beiden sollen gar nicht aufgeführt werden. Kann man das überhaupt so einrichten? So wie ich das verstanden habe, muss ich "Parent" auf *RX setzen, damit die Unterordner aufgelistet werden. Damit werden aber alle Unterordner aufgelistet, auch die die gar nicht erscheinen sollen. Da hilft es auch nichts die Unterordner auf *EXCLUDE zu setzen. Das bedeutet ja nur, dass man nicht in die Unterordner rein kann. Aber aufgelistet werden sie trotzdem. Kann man das irgendwie vermeiden? Ich schätze aber mal da müsste ich die komplette Ordnerstruktur anders aufbauen.

Gruß,
KM

[Fuerchau]

Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

Pfad des Users => Freigabename
Parent/Child1 => Child1
Parent/Child2 => Child2
Parent/Child3 => Child3

Weder Parent noch die anderen Childs sind sichtbar.

[KM]

Da musst du je User eine eigene Freigabe einrichten.

Die vielen Freigaben wollten wir ja eigentlich vermeiden. Deshalb überarbeiten wir die ganze Berechtigungsstruktur. Wir hatten bereits viele Freigaben und somit auch viele Laufwerkmappings. Aber ich dachte mir schon, dass es nicht anders geht.

Gruß,
KM

[BenderD]

Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

Pfad des Users => Freigabename
Parent/Child1 => Child1
Parent/Child2 => Child2
Parent/Child3 => Child3

Weder Parent noch die anderen Childs sind sichtbar.

... eine Freigabe ist doch nur ein externer link auf ein Verzeichnis, das selbe müsste man doch auch erreichen können mit einer Freigabe eines gemeinsamen Verzeichnisses, das links enthält, die User spezifische Berechtigungen haben.

D*B

[Fuerchau]

Leider nein. Da man die Parent-Leseberechtigung braucht sieht man alle Objekte, also auch die, für die man selber nicht berechtigt ist. Erst beim Zugriff erfolgt dann die tatsächlich Prüfung dieses Objekts.

Windows hat das dann irgendwann mal ergänzt und prüft auch die Berechtigung der nächsten Ebene um diese Objekte dann auszublenden.