Page 1 of 1

Права доступа к шаре nas4free

Posted: 12 Oct 2017 13:47
by menwell
День добрый.
Поднял на работе nas4free, сделал шары, все работало ок. Потом начались проблемы с правами доступа. Возможно помогли коллеги, которые что-то натворили с АД или правами доступа у меня или еще чего. Короч суть проблемы:

1. Когда пользователь создает папку на шаре она появляется, но ни переименовать ее, ни зайти туда не может. Нет прав доступа. В свойствах безопастности этот пользователь добавлен дважды: в одном случае у него есть права, которые я ему выдал, в другом - у него права на все операции отсутствуют. Здесь понятно - запрет перекрывает разрешения, но почему NAS добавляет второй раз того же пользователя с отсутствующими правами?
2. Пытаюсь добавить новых пользователей в безопастность и дать им права к папке. Пользователь добавляется, права выбираются, но как жму применить - он пропадает. Старые пользователи добавляются нормально. в настройках есть есть такая ошибка:
Image
Но связь с АД есть. NAS видит всех пользователей АД и группы. И у старых пользователей все работает. В чем может быть причина?

Re: Права доступа к шаре nas4free

Posted: 04 Dec 2017 21:40
by start
Мне кажется, что ключ для решения - это настройка ACL на NAS4FREE
http://at-hacker.in/?go=all/samba-zfs-acl/

Re: Права доступа к шаре nas4free

Posted: 05 Dec 2017 11:12
by menwell
Спасибо. Изучу статью и проверю.

Re: Права доступа к шаре nas4free

Posted: 21 Jan 2018 10:44
by menwell
тестирование параметров самбы выдает такую ошибку

nas: ~# testparm
Load smb config files from /usr/local/etc/smb4.conf
Processing section "[ADM-Sklad]"
Processing section "[ALL-Sklad]"
Processing section "[CS-Sklad]"
Processing section "[Sklad]"
Loaded services file OK.
ERROR: The idmap range for the domain * (tdb) overlaps with the range of MARA (rid)!

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions


причем команда wbinfo -u нового пользователя видит

nas: ~# wbinfo -u | grep test
testqwe

но id не выдает не видит

nas: ~# id testqwe
id: testqwe: no such user

Судя по всему, какие-то проблемы с обновлением информации из АД.

Re: Права доступа к шаре nas4free

Posted: 09 Nov 2018 13:36
by odseg
Добрый день, хочу уточняющий вопрос задать.
Правильно ли я понял, что группы и пользователи для отдельных папок ( разграничение доступа) задаются только руками в терминале ?
В своей версии 11.2.0.4 - Omnius (сборка 6154), я не нашел как это делать из вебгуи.

Re: Права доступа к шаре nas4free

Posted: 09 Nov 2018 14:49
by Shperrung
Датасету можно настроить пользователя, группу и права в настройках самого датасета.
Простым папкам - тикнуть права можно в файловом менеджере. Насчёт назначения пользователя и группы сложно сказать, так как до конца "логику" этого действия не смог понять.

Re: Права доступа к шаре nas4free

Posted: 14 Nov 2018 10:01
by odseg
Shperrung wrote:
09 Nov 2018 14:49
... так как до конца "логику" этого действия не смог понять....
доступа разграничение, например я делаю в смб шару /mnt/da1/ в ней есть папка fold1 fold2, на fold1 стандартные права, 777, на fold2 SPECuser: nogroup , 700,
таким образом все залезут в fold1 но никто не залезет в fold2, кроме SPECuser`a
что бы зайти, например, из под винды в туже fold2 достаточно подключиться под определенным логином

Code: Select all

net use \\xigmanas\ /USER:SPECuser SPECuserPassword 
или можно подключить постоянный сетевой диск

Code: Select all

net use x: \\xigmanas\da1\fold2\ /USER:SPECuser SPECuserPassword /persistent:YES
--
что бы зайти, например, из под винды в туже fold2 достаточно подключиться под определенным логином

Code: Select all

net use \\xigmanas\ /USER:SPECuser SPECuserPassword 
С помощью диалоговых окон винды(10) у меня подключиться не удалось(видимо из-за того что винда сама подставляет рабочую группу/домен в поле логина) только с помощью консоли

Re: Права доступа к шаре nas4free

Posted: 18 Nov 2018 07:52
by alexey123
odseg wrote:
14 Nov 2018 10:01
С помощью диалоговых окон винды(10) у меня подключиться не удалось(видимо из-за того что винда сама подставляет рабочую группу/домен в поле логина) только с помощью консоли
Это потому что винда 10 или 8,1 после последнего большого апдейта начинает выставлять имя сессии как аккаунт мелкомягких, или если не рэган у них какие то иные буквы.
Обойти можно добавив строку в конфиг самбы

Code: Select all

username map = /mnt/tank/PATH TO/users.map
и соответственно открыв файл /mnt/tank/PATH TO/users.map в формате

Code: Select all

юзернейм = "blablabla@animail.com"
где
юзернейм - имя пользователя xigmanas
blablabla@animail.com есть аккаунт в Микрософт или же те буквы, которые печатает винда при попытке открыть шару из окна RUN