Zugriffsprobleme mit UCS

german

#1

Hallo zusammen,

wir sind leider mit UCS überhaupt nicht glücklich und fragen uns mittlerweile (immerhin wird das System ja nicht nur bei uns produktiv eingesetzt), ob es an unserer “Unfähigkeit” liegt oder ob das System einfach noch mit Kinderkrankheiten zu kämpfen hat.
Ich wäre euch dankbar, wenn ihr mir einfach mal eure Meinungen hierzu schreiben könntet:

UCS kommt in einem Medienunternehmen auf einem VMware-Server als virtuelle Maschine zum Einsatz. Es steht eine virtuelle Platte mit ~25TB zur Verfügung, formatiert mit ext4.
Es existiert keine Domaine (bitte keine Diskussion hierzu, ist schlichtweg nicht gewünscht), sondern UCS fungiert als reiner File-Server per SMB. Zugegriffen wird mit zig verschiedenen Clients von iPhone über Mac über Android über Linux über WindowsXP [sic!] bis hin zu Windows 10.
Früher war eine Synology NAS Station im Einsatz, leistete fehlerfrei gute Dienste und genügte völlig. Zusätzlich werden Daten zum Austausch mit Geschäftspartnern über einen angemieteten FTP-Server zur Verfügung gestellt.
Um in dieses historisch gewachsene Geflecht endlich eine Struktur zu bringen, kam die Idee auf, alles ins Haus zu holen, zentral zu speichern und den Speicher endlich auch halbwegs dynamisch erweitern zu können (Speicherplatzanforderungen sind rapide gestiegen).

UCS klang hier gut (obwohl völlig überdimensioniert) und man entschied sich hierfür. Nach erfolgreichem Setup haben wir nun aber immer wieder kleine bis mittelgroße Probleme, die für mich größtenteils nicht reproduzierbar sind und bei der Geschäftsführung schlichtweg auf Missmut und Kompetenz-Infragestellungen stoßen. Immerhin sollte UCS ja ausgereift sein.

[ul]
[li]Während ich mit Win10 nie Zugriffsprobleme hatte, scheint es bei den Mac-Clients immer wieder zu Unregelmäßigkeiten zu kommen. Aus scheinbar heiterem Himmel können einzelne Ordner der Netzwerkfreigaben plötzlich nicht betreten werden, die Rechte werden einfach verweigert. Nach einem Trennen und erneuten Verbinden tut es dann wieder. Auch Dateien sind manchmal schreibgeschützt, obwohl nirgendwo anders geöffnet. MS Excel kann ab und an bereits bestehende und geänderte Dateien nicht speichern, unter neuem Namen tut es dann aber, zurück bleibt eine leere alpha-numerisch benannte Datei mit 8 Zeichen. Ein Speichern als PDF in Lexware funktioniert nicht, das “Drucken” über den virtuellen AdobePDF-Drucker jedoch schon. Manche Probleme lösen sich nach einem erneuten Verbinden, andere nicht. Aufgefallen ist mir, dass Bilder und PDFs, welche beim Mac im Finder als Vorschau geöffnet sind, nicht gelöscht oder überschrieben werden können. Wird die Vorschau geschlossen oder gar nicht erst geöffnet tut es (scheint also als geöffnet markiert zu sein). Selbes Szenario bei Windows funktioniert jedoch. Die Nutzer greifen jeweils über verschiedene Benutzerkonten zu, die SAMBA-Freigaben sind jedoch (mittlerweile) so konfiguriert, dass sämtliche Zugriffe als root laufen. Dennoch weiterhin verweigerte Rechte.[/li]
[li]Die Macs erstellen überall ihre kleinen mit Punkten beginnenden Dateichen, welche unter Mac auch nativ ausgeblendet sind, unter Windows jedoch sichtbar werden. Die Synology scheint diese automatisch versteckt zu haben, UCS macht dies jedoch nicht und die Windows-Nutzer ärgern sich. Auch belegen diese 1KB-Dateien (scheinbar auf Grund der der Clustergröße bei ~25TB) jeweils 1MB, was doch eine ganze Menge Platzverbrauch ausmacht.[/li]
[li]Da AFP von UCS nicht unterstützt wird, laufen die Verbindungen alle über SMB, was dazu führt, dass einige Systemfunktionen nicht wie bisher unter der Synology gewohnt funktionieren (z.B. Apple Tags).[/li]
[li]Die nicht für einen bestimmten Nutzer zugänglichen Freigaben werden dennoch angezeigt und lassen sich scheinbar auch nicht ausblenden, was anscheinend Verwirrung stiftet. Die Synology konnte das und ich bin es auch von anderen Distributionen gewohnt.[/li][/ul]

Überhaupt kommt es in erster Linie mit den Macs zu Problemen und mir scheint so, als seien einige Probleme auf unsaubere Implementierungen auf eben jenen zurückzuführen. Allerdings hilft mir das wenig - immerhin “funktioniert UCS in anderen Unternehmen ja auch” und “bisher tat es ja auch”.

Die Überlegung ist mittlerweile, UCS wieder den Rücken zu kehren.
Wie seht ihr das? Habt ihr Tipps? Oder evtl. einen Vorschlag für einen besser geeignete Distribution?

Synology ist mit seinen kastrierten Systemdiensten (z.B. Cron oder RSync) definitiv keine Lösung mehr - nur UCS scheinbar eben auch nicht …

Danke schonmal und beste Grüße
KarSer


#2

Zu den Dateizugriffsschwierrigkeiten kann ich leider nichts sagen, aber ich vermute, dass das wohl an AFP->SAMBA liegen könnte, unabhängig von UCS.
Im Netz findet man ziemlich viel zu Netzwerkproblemen mit Macs, seit das Standardnetzwerkprotokoll bei den Macs von AFP auf SMB gewechselt wurde.

Die kleinen . Dateien der Macs lassen sich mit den custom settings verhindern:

Share->Advanced settings->Samba custom settings
Key: veto files
Value: /TheVolumeSettingsFolder/.DS_Store/.TemporaryItems/TheFindByContentFolder/.FBCindex/.FBCIndexCopy/.localized/Network Trash Folder/Temporary Items/Cleanup At Startup/.FBCLockFolder/.Trashes/._*/

Key: delete veto files
Value: yes


#3

Moin,

ich kann mich da meinem Vorredner anschleßen: Macs haben keine sonderlich gute SMB-Implementation. Soweit ich weiß, nutzt Apple hier eine Eigenentwicklung, und die funktioniert bekanntermaßen mit Samba oftmals nur auf verschiedene Arten komisch/nicht/schlecht. Eine Sache, die Sie ausprobieren können, ist das Abschalten von Op-Locks in den Einstellungen der Freigabe(n).

Sie könnten auch in Erwägung ziehen, einen Mischbetrieb aus UCS und Synology zu fahren. Man kann eine DiskStation in die UCS-AD-Domäne joinen und damit auf der Synology die Authentifizierung der UCS-User nutzen. Dann gehen Sie mit Ihren Clients auf die Freigaben der Synology. Von UCS aus können Sie die Freigaben dann via NFS einbinden. Damit können Sie alle Linux-Fähigkeiten von UCS nutzen und vermeiden evtl. die Mac-Probleme im Zusammenspiel mit dem bei UCS eingesetzten Samba.

Eine auf Macs spezialisierte Linux-Enterprise-Distro ist mir so nicht bekannt.

Gruß,
mosu


#4

Liebe/r KarSer,

diese Möglichkeit ist leider nicht unmittelbar an der Oberfläche der UMC exponiert, lässt sich aber gleichwohl mit einem kleinen Kniff erreichen. Das “Geheimnis” steckt im Samba-Share-Parameter “access based share enum” in Verbindung mit passenden Rechten auf dem Share selbst (Freigaberechte, nicht Datensystemrechte), die man mit dem Kommando “sharesec” setzen kann. Als Vorbereitung ist also schon mal die Lektüre von “man smb.conf” (hier reicht die Stelle, bei der es um den genannten Parameter geht) und “man sharesec” gut.

Beispielhaft kann man es so umsetzen: Es gibt eine Freigabe “diefreigabe” und eine Gruppe “mitarbeiter”, der diese Freigabe angezeigt werden soll. Alle anderen Benutzer und Gruppen sollen die Freigabe nicht sehen.

Man muss dann erstmal die SID der Gruppe herausfinden:

# wbinfo -n mitarbeiter S-1-5-21-1234567890-0987654321-1234567890-1125 SID_DOM_GROUP (2)

Mit dieser SID kann man die Rechte der Freigabe setzen (diesen Befehl auf dem Server, auf dem die Freigabe konfiguriert ist):

# sharesec -R S-1-5-21-1234567890-0987654321-1234567890-1125:ALLOWED/0x0/FULL diefreigabe

Mit dem Befehl ersetzt man die Freigaberechte durch die genannten, d.h. die bisherigen Rechte (i.d.R. Vollzugriff für alle) werden ersetzt durch Vollzugriff für die eine Gruppe.

Zum Schluss setzt man in der UMC in den Einstellungen der Freigabe “diefreigabe” unter “Erweiterte Einstellungen->Erweiterte Samba-Einstellungen” den Schlüssel “access based share enum” auf den Wert “yes”.

Anders macht es Synology wohl auch nicht, ist schließlich das im Wesentlichen gleiche Samba.

Nur einen Haken setzen auf der Seite “Samba” der Freigabeeinstellungen wäre allerdings leichter, das gebe ich zu. Die Freigabe-Rechte kann man auch von Windows aus mit der Computerverwaltung bzw. aus dem Eigenschaften-Dialog der Freigabe heraus setzen. Das mit dem extra Haken verbunden mit einem Hinweis im Handbuch auf “sharesec” bzw. die Möglichkeit die Rechte von Windows aus zu regeln wäre doch mal ein netter, mit geringem Aufwand umsetzbarer Feature-Request (Hallo, Univention!)

Gruß, V. Mayer