IFS-Berechtigungen

[KM]

Das mit dem Netserver war jetzt schon mal ein guter Hinweis. Es lag zwar nicht an "Disabled Users". Das hatte ich vorher schon geprüft. Aber mir ist jetzt aufgefallen, dass für den Testbenutzer keine Kerberos-Authentifizierung eingerichtet war. Das hab ich jetzt gemacht und jetzt werden die Berechtigungen und Berechtigungslisten auf einmal korrekt geprüft.

Verstanden hab ich es jetzt aber trotzdem nicht. Warum werden Berechtigungen über eine Kerberos-Authentifizierung geprüft, aber beim normalen Verbinden eines IFS-Netzlaufwerks nicht?

Gruß,
KM

[Christian Bartels]

Ich kann nur spekulieren. Beim Einrichten von Kerberos für NetServer scheint man das einstellen zu können:

• If you select Passwords/Network authentication, clients that do not support Kerberos or clients that do support Kerberos but are not currently participating in a Kerberos realm use encrypted passwords to authenticate.

• If you select Network authentication, all clients must use Kerberos to authenticate with the server. Therefore, only clients that support Kerberos V5 can connect to IBM i NetServer after this support is enabled.

(Quelle: https://www.ibm.com/support/knowledg...lkrbv5auth.htm)

Es ist immer etwas schwierig, aus der Entfernung ohne genaue Kenntnis der Konfiguration aus der Fülle der Konfigurationsmöglichkeiten die Einstellung zu finden, die für das konkrete Verhalten verantwortlich ist.

Mit freundlichen Grüßen,
Christian Bartels.

[KM]

Also bei uns ist der Netserver mit "Passwords/Network Authentication" eingerichtet, weil es vereinzelt noch Benutzer geben könnte, die kein Kerberos verwenden. Ich vermute mal, dass es irgendwie mit dem Benutzernamen zu tun hat, denn *PUBLIC Berechtigungen funktionierten ja. Ich schätze mal, dass mit Kerberos andere Benutzernamen verwendet bzw. geprüft werden (z.B. Benutzer + Domain) und dass das dann nicht so recht zusammenpasst.

Naja, wie auch immer, mit Kerberos funktioniert es ja nun. Jetzt hätte ich aber noch eine letzte Frage. Wenn ich einen Ordner "Parent" habe und darunter die Ordner "Child1", "Child2" und "Child3". Jetzt will ich, dass einem bestimmten Benutzer unterhalb von "Parent" nur der Ordner "Child2" angezeigt wird. Die anderen beiden sollen gar nicht aufgeführt werden. Kann man das überhaupt so einrichten? So wie ich das verstanden habe, muss ich "Parent" auf *RX setzen, damit die Unterordner aufgelistet werden. Damit werden aber alle Unterordner aufgelistet, auch die die gar nicht erscheinen sollen. Da hilft es auch nichts die Unterordner auf *EXCLUDE zu setzen. Das bedeutet ja nur, dass man nicht in die Unterordner rein kann. Aber aufgelistet werden sie trotzdem. Kann man das irgendwie vermeiden? Ich schätze aber mal da müsste ich die komplette Ordnerstruktur anders aufbauen.

Gruß,
KM

[Fuerchau]

Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

Pfad des Users => Freigabename
Parent/Child1 => Child1
Parent/Child2 => Child2
Parent/Child3 => Child3

Weder Parent noch die anderen Childs sind sichtbar.

[KM]

Da musst du je User eine eigene Freigabe einrichten.

Die vielen Freigaben wollten wir ja eigentlich vermeiden. Deshalb überarbeiten wir die ganze Berechtigungsstruktur. Wir hatten bereits viele Freigaben und somit auch viele Laufwerkmappings. Aber ich dachte mir schon, dass es nicht anders geht.

Gruß,
KM

[BenderD]

Da musst du je User eine eigene Freigabe einrichten. Da ja jeder nur an seine Freigabe kommt stellt sich das Problem nicht mehr:

Pfad des Users => Freigabename
Parent/Child1 => Child1
Parent/Child2 => Child2
Parent/Child3 => Child3

Weder Parent noch die anderen Childs sind sichtbar.

... eine Freigabe ist doch nur ein externer link auf ein Verzeichnis, das selbe müsste man doch auch erreichen können mit einer Freigabe eines gemeinsamen Verzeichnisses, das links enthält, die User spezifische Berechtigungen haben.

D*B

[Fuerchau]

Leider nein. Da man die Parent-Leseberechtigung braucht sieht man alle Objekte, also auch die, für die man selber nicht berechtigt ist. Erst beim Zugriff erfolgt dann die tatsächlich Prüfung dieses Objekts.

Windows hat das dann irgendwann mal ergänzt und prüft auch die Berechtigung der nächsten Ebene um diese Objekte dann auszublenden.