Apple Filing Protocol (AFP) - Zugriffsrechte

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Liebe Äpfel,

ich versuche mit meinen Macs im heimischen LAN auf eine AFP-Freigabe zuzugreifen. Der Server zu dieser Freigabe läuft unter Linux und nutzt netatalk & avahi zur Bereitstellung der Shares.

Es funktioniert so weit, daß TimeMachine wunderbar auf ein eigenes Share (insgesammt 2, für zwei Macs) zugreifen kann und schon seit Monaten Backups klaglos erstellt.

Die Freigabe für gemeinsame Dateien jedoch bereitet mir Kopfzerbrechen. Der Eintrag in der AppleVolumes.default lautet:
"/data/Files "Files" allow:a,b cnidscheme:cdb options:usedots,upriv"

Ich kann alle Dateien lesen. Jedoch kann ich nur neue Verzeichnisse erstellen, keine Dateien - weder in meine neu erstellten Verzeichnisse, noch in vorhandene Verzeichnisse.
Folgende Fehlermeldung erscheint bei dem Versuch:

"Die Aktion kann nicht abgeschlossen werden, da Sie für einige Objekte nicht die erforderlichen Zugriffsrechte haben"

o_O
afp-fehler.tiff

afp-fehler.tiff
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Ich konnte mir mitlerweile selbst helfen und möchte allen künfitg Leidenen natürlich noch sagen, wie.

Der "Fehler" lag in der Option "upriv", daß Erweiterungen von Version 3 des Protokolls aktiviert, daß erweiterte Rechteverwaltung zuläßt. Üblicherweise wird von der Verwendung dieser Option abgeraten, sofern noch Tiger im Netz hängen. Es scheint aber noch weitere Wechselwirkungen zu geben (eventuell mit Samba?).

Es stellte sich heraus, daß nicht alle, sondern nur einige Dateien nicht auf die Freigabe kopiert werden konnten - worauf hin ich das mit den Rechten einfach mal probiert habe. Et voila!
 
  • Like
Reaktionen: ace777

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Hi,

gut, dass du eine Lösung gefunden hast und sie teilst.
Ich bin somit guter Hoffnung, dass du mir helfen kannst :)

Hab auch ein NAS (Asus WL700gE) und dort netatalk installiert. Mein Eintrag in AppleVolumes.default ist noch simpler:
Code:
MYVOLUME1/MYSHARE1
Ich konnte so erfolgreich "mit server verbinden" per "afp://ip.adress"

Problem:
Nach einem update der installierten Pakete klappte es nicht mehr. Beim Verbinden bekomme ich nun den Fehler gemeldet:

Der Vorgang konnte nicht abgeschlossen werden, da eines oder mehrere benötigten Objekte nicht gefunden wurden.
(Fehler -35)
Netatalk ist jedoch erfolgreich installiert und eingerichtet. Erstaunlicherweise kann ich mich unter einem anderen OS X Benutzeraccount erfolgreich verbinden per AFP. Aber mit meinem eigenen nicht mehr.

Eine Idee?
Oder: Kann ich die komplette AFP Konfig. für meinen Benutzer zurücksetzen/löschen/reparieren?

specs
OS X 10.4.11
netatalk 2.0.3-5
NAS: wl700ge costum FW kfurge 1.0.7.8

Für jeden Rat wäre ich dankbar!
Beste Grüße
Pooz

---------
EDIT:
Ich fasse es nicht!! Da google ich tagelang und finde NIX, und plötzlich beim Stöbern in Alten threads hab ich doch die lang ersehnte Lösung gefunden !!! 1a!!!
http://www.apfeltalk.de/forum/os-x-10-a-t36150.html
 
Zuletzt bearbeitet:

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Aber eine Kleinigkeit ist übrig geblieben:

Hast du es geschafft, dich ohne Klartextüberttragung des Passwortes per AFP anzumelden?
Bei mir klappt es nicht mit der Verschlüsselung :(
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Ja, dazu mußte man aber die AFP-Geschichte auf dem Server manuell übersetzen, wegen irgendwelche Lizenzdinge, so genau hab ich nicht nachgefragt.

Diese Anleitung geht darauf ein, es gibt irgendwo auch eine Übersetzung ins Deutsche, die ich aber nicht verlinkt habe:
http://blog.damontimm.com/how-to-install-netatalk-afp-on-ubuntu-with-encrypted-authentication/

Hoffe das hilft dir weiter. Bei mir hat es mit der Anleitung tadellos funktioniert, daß die Verschlüsselung läuft.
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Danke für den Link.

Gibt es eine Möglichkeit heraus zu finden, ob mein fertig heruntergeladene netatalk-paket das vielleicht schon implementiert hat?

Grund: Ich habe ein NAS von Asus mit Linux laufen, worüber ich aber nicht viel mehr weiß (Linux Newbi). Das Netatalk Paket hab ich mit eine Befehl "ipkg install netatalk" installiert (Es ist ein sog. Optware Package und wurde automatisch aus dem Netz hier heruntergeladen und installiert.)

Hm...so viel weiter reichen meine Kenntnisse auch nicht weiter :( Ich wäre aber in der Lage die jeweiligen Konfigurationsdateien im NAS zu lokalisieren (per telnet/SSH (dropbear)) und zu editieren.

Kompiliert hab ich noch nie...
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Um ganz sicher zu gehen, kannst du mittels Wireshark prüfen, ob du dein Passwort in irgendeinem Paket lesen kannst.

Ansonsten bei den Optware Leuten nachfragen.

In der Anleitung steht aber, daß Tiger eine Warnung wirft, wenn du mit Tiger versuchst auf die Shares zu verbinden. Kam die denn? Falls nicht, könnte es verschlüsselt sein...
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Bin mir sicher, dass es im Cleartext übertragen wird, da Tiger mir vor dem Verbinden diese Warnmeldung ausgibt.

Leider finde ich bei den Optwareleuten kein Form, Im IRC bin ich auch irgendwie der einzige, der was schreibt...komisch.

Habe bei den Optware Leuten eine Anleitung für Einrichtung des netatalk für TimeMachine gefunden, jedoch benutzt der Author keine Verschlüsselung, sondern nur "guest"als UAM.

Daher meine Frage: Ist das dann nur lokal in meinem Netz unsicher, oder kann jemand ausm WAN das mithören? Ich bin nämlich der einzige, der den Router im Netz benutzen würde, und würde dann wohl oder übel auf die Verschlüsselung verzichten (müssen) :(
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Kurz googeln liefert:
http://mybookworld.wikidot.com/forum/t-47342/netatalk-configuration

Was mir auffält ist:
http://mybookworld.wikidot.com/netatalk-tutorial

Das benötigt aber etwas Einlesen und den Mut, es selbst zu machen.

Naja, wenn dein LAN hinter einem Router hängt und der Datenstrom nur im LAN bleibt, dann ist es sozusagen "sicher", weil ja direkt keiner mithören kann (es sei denn, es geht über WLAN, aber dann ist ja hoffentlich eh eine WPA-verschlüsselung drüber...). Sollte jemand durch deinen Router brechen können, ist dein AFP-Passwort wohl das geringste, was dir Sorgen machen sollte. Um auch das zu entschärfen, benutze ein neu generiertes Passwort nur für den AFP-Zugriff, damit ein eventuell ausgespähtes Passwort nicht auch noch andere Tore und Türen öffnet, etwa den immens wichtigen ApfelTalk-Login bspw. ;)
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Habe das Gefühl, das "ganze" Netz bereits erfolglos durchforstet zuhaben...wonach hast du gegooglet?

Jedenfalls beschreiben die dort leider nicht, wie sie netatalk dazubringen, die passwörter verschlüsselt zu schlucken :( Ledeglich die Erkenntnis, dass Leo das benötigt. Dort wird netatalk "as it is" (außer shares zu definieren) runtergeladen und instaliert....och menno...bin seit Tagen total verzweifelt, und finde keine Lösung.:-c:-c:-c

Naja, wenn dein LAN hinter einem Router hängt und der Datenstrom nur im LAN bleibt
Was genau heißt "hinter hängen" ? Mein NAS ist ein Router. Der schluckt Netzzugang über WAN von meinem schlichten DSL Modem....bin ich dahin gehend sicher?

Danke für deine Hilfe!
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Gegoogelt habe ich nach: "optware netatalk encryption".

Hm. Wenn dein Router die Shares auch ins WAN reicht, dann bist du natürlich nur so lange "sicher", wie du aus deinem LAN heraus nicht über Umwege auf dein NAS zugreifst (hängt auch davon ab, wie "schlau" dein Router ist) und nur von zu Hause aus auf das NAS zugreifst.

Man bringt netatalk dazu, verschlüsselte Passwörter zu schlucken, in dem man beim Kompilieren die entsprechnde Option aktiviert. Sonst muß man nichts ändern. Ich dachte, daß die das dort, worauf ich über Google gestoßen bin, vielleicht gemacht hätten weil die da auch von /etc/passwd & /etc/shadow und so weiter gesprochen haben.

Also alles in allem solltest du dich wohl durchringen, die paar Schritte zu versuchen, um netatalk mit ssh-Unterstützung zu bauen. Das steht in der anderen verlinken "Anleitung". Schließlich hast du es geschaft, das Paket zu laden und installieren, zum selbst kompilieren gehört nicht viel, sofern du das dpkg-Geraffel nutzen kannst auf deinem NAS.
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Ja,

hab die "password" geschichte hab ich gelesen,aber sinn und die art und weise wie diese datei verändert wird nicht ganz verstanden.

Das Kompilieren erfolgt ja auch auf einem Linux-System,was nicht ganz mit meinem aus dem asus übereinstimmt. Daher weiß ich auch nicht welche parameter und opzionen für mein linux da gebraucht werden.

Diese Optware-Leute krieg ich ja auch nicht zu fassen um danach zu fragen...mist...

Bin an einem Punkt, wo ich selbst nicht mehr weiß, was das Problem in meinem Fall ist
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Hmm ja dann ists schwer und ich fürchte ich kann auch nicht weiter helfen...
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Na vielleicht findet sich ja noch jemand, der weiter helfen kann :)
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Ich hoffe doch. Hier hat jemand dieselbe Frage, befindet sich aber ein Tick weiter als ich. Das wurde mit nur einer Antwort gelöst. Leider hab ich die Lsg. nicht gsanz verstanden. Also wenn ein Linuxer das für mich entschlüsseln könnte :)

Hat doch was passwd zu tun...
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Die Antwort besteht dort nur darin, die sogenannten "shadowed" Passwörter auf dem Server beim Kompilieren per Option auszuschalten und "normale" Passwörter zu verwenden. Der Schritt, den man dir dort voraus ist, ist die Möglichkeit bzw. der Enthusiasmus, netatalk selbst zu kompilieren.
 

pooz

Fuji
Registriert
07.11.09
Beiträge
37
Ich hab ja nichts dagegen,das selbst zu kompilieren, aber dazu sind noch einige Hürden zu nehmen:

1) Ist es sicher, dass die Optware-Version auch aus Lizenzgründen SSH deaktiviert hat (wie du hier für debian vermutest) ? Obwohl ich auf meinem Linux statt OpenSSH das Dropbear als SSH benutze.

2) Wie komme ich an den Source-Code ?

3) Wie ist die Syntax zum Kompilieren auf meinem Linux. Ich weiß, meine Platform ist wohl folgende:
Code:
Processor: Broadcom wireless processors BRCMxxxx
Architecture: mipsel
Memory: 32MB RAM, 4MB Flash
Interfaces:  Ethernet, 802.11G (WiFi), USB 2.0, 
Feed: [URL="http://ipkg.nslu2-linux.org/feeds/optware/oleg"]oleg[/URL] and [URL="http://ipkg.nslu2-linux.org/feeds/optware/ddwrt"]ddwrt[/URL]
Kernel: 2.4.20 and 2.4.33, Libs: uClibc-0.9.28 with patches
Current toolchain: gcc-4.1.1-uclibc-0.9.28
Project Page: [URL]http://www.nslu2-linux.org/wiki/FAQ/Optware-uClibcBuild[/URL]
Comments: Works on all DD-WRT, X-Wrt, [URL="http://www.nslu2-linux.org/wiki/OpenWrt/HomePage"]OpenWrt[/URL], Oleg, ..., firmwares if enough external storage provided

So, Problem ist schon mal identifiziert:cool:
 

Vann Harl

Alkmene
Registriert
27.05.09
Beiträge
35
Wunderbar :)

1) Keine Ahnung. Solange du dein NAS nicht für bare Münze verkaufst, solltest du als Privatperson keine Geldmacherlizenzprobleme bekommen, weil man den ganzen Käse ja herunterladen kann. Warum netatalk das nicht gleich inkludiert - ich weiß es nicht wirklich. Was ich sagte beruht mehr auf wagen Erinnerungen in diesem Fall.

2) In der Beispielanleitung über den Aufruf "apt-get source netatalk". Ein Paketmanagement gibt es wahrscheinlich auch für diese Optwaresache, die du da nutzt. Das mußt du aber herausfinden. Wenn es kein Quellenpaket gibt (sondern nur das bereits übersetzte, das du ja schon heruntergeladen hast), hilft es vielleicht weiter, einmal in das Paket "hineinzuschauen", ob darin beschrieben steht, wie es cross-compiliert wurde (das schließe ich aus der Lage im Optware Repo) oder woher die Quellen zu beziehen sind, die sich auf dem System übersetzen lassen.

3) Es gibt nur wenige nativ kompilierte Pakete bei Optware, die allermeißten sind cross-compiliert (also auf einem anderen System für das eigentliche System übersetzt und auf diesem anderen System garnicht lauffähig). Damit habe ich a. wenig Erfahrung aber b. sollte es auf den Webseiten eine Art Anleitung oder über Google Tutorials zu finden geben, wo steht wie man das selber auf die Beine stellen kann. Das gute ist, daß du den gcc bereits in der Toolchain hast, damit könntest du nativ übersetzen.


Wie interagierst du mit deinem NAS? Gibt es eine Verbindung zu einer Shell auf dem System? Oder wie "installierst" du Software darauf?