Pomoc Uprawnienia do plików - zaawanoswane prawa dostepu

[bartassw]

Dzień dobry,

Drodzy Państwo, uprzejmie proszę o pomoc w rozwiązaniu problemu uprawnień do plików dla grup i użytkowników.

Mam włączone zaawansowane uprawnienia do plików, wyłączone Windows ACL.

Zdefiniowałem kilka grup użytkowników: księgowość, sekretariat, handlowcy, itd,
Generalnie wszyscy mają mieć dostęp RW wszędzie (z tym nie ma problemu).

Mam natomiast kilka folderów, które chciałbym aby były dostepne tylko do księgowości, tak aby pozostali nie mogli ich nawet czytać - i tu pojawia się problem. Każdy użytkownik jest domyślnie przypisany do grupy everyone. Nie mogę go wypisać (odłączyć) z tej grupy.

Jak dam grupie everyone brak dostępu, to automatycznie uprawnienia przyznane konkretnym użytkownikom zmieniają się z RW na D - nawet administrator dostaje "brak dostępu", podobnie właściciel plików (w tym wypadku uzytkownik Bartosz) - tylko dla tego, że jest w grupie everyone

Grafikę załączam jako PDF, nie mogę tu wkleić.

Pomimo, iż użytkownik ma prawa zapisu (RW), to jeśli grupa everyone ma "brak uprawnień" to pomimo, że "ptaszek" zaznaczony jest dla użytkownika na RW, obok jest czerwony komunikat - brak uprawnień.

Wygląda na to, jak by uprawnienie dla grupy everyone było ważniejsze niż uprawnienie dla konkretnego użytkownika. Podobnie jest z innymi grupami. Jeśli nawet grupa Księgowość ma RW, to gdy odmówię uprawnień dla everyone, także nie ma dostępu do plików.

Moje pytanie zatem - jak to zrobić, aby do kilku folderów uprawnienia (choćby do odczytu) miały tylko i wyłącznie wskazane grupy?

Uprzejmie proszę o pomoc.

Wersja oprogramowania Firmware:4.3.3.0238 Build 20170703
Model serwera: QNAP TS-831X

 

[maclaw13]

Każdy użytkownik należy do Everyone, ale nie każdy folder musi. Po pierwsze odejmij uprawnienia dla Everyone, najlepiej usuń go z listy uprawnień na zasobie. Jeżeli to nie możliwe to zredukuj jego uprawnienia przez odfajkowanie go w sekcji Allow; sekcji Deny nie ruszaj - tam nie powinno być ani jednego zaznaczenia. Dalej, najlepiej byłoby utworzyć grupę na zasób, np. KsiegowoscRO i KsiegowoscRW, przypisać grupy do uprawnień na zasobie, a następnie użytkowników do grupy i gotowe.

I jeszcze jedno - ponieważ interface QNAPa jest ubogi, jeżeli chodzi o zarządzanie grupami, to być może będziesz musiał wykonać te zadania z grupami za pomocą setfacl z shella po założeniu grup (usunięcie wszystkich uprawnień: setfacl -b, ustawienie uprawnień: setfacl -m, usunięcie wybranego uprawnienia: setfacl -x).

setfacl -b Ksiegowosc
chown root:root Ksiegowosc
chmod o-rwx Ksiegowosc

W wersji dla ACLv3:
setfacl -m user:root:rwx,default:user:root:rwx,group:KsiegowoscRO:r-x,default:group:KsiegowoscRO:r-x,group:KsiegowoscRW:rwx,default:group:KsiegowoscRW:rwx Ksiegowosc

W wersji dla ACLv4:
setfacl -m user:root:rwxpDdaARWcCo-:fd-----:allow,group:KsiegowoscRO:r-x---a-R-c---:fd-----:allow,group:KsiegowoscRW:rwxpDdaARWcCo-:fd-----:allow Ksiegowosc

 

[bartassw]

Dziękuję bardzo za wyczerpująca odpowiedz.

miałem wyłączony ACL i pozostawione wyłącznie zarządzanie plikami przez webpanel qnap.
szczerze mówiąc, pomimo iż kiedyś pracowałem na linuxie (z 15 lat temu) to boję się przejść na wyłącznie konsolowe ustalanie uprawnień dla wszystkich folderów - a jak włączę ACL, to webadmin przestaje zmieniać uprawnienia (po wyczyszczeniu uprawnień dla całego folderu (wyżej niż Księgowość) nie mogłem ich ponownie ustawić za pomocą panelu - a z konsoli, nie mam niestety tak dużo czasu aby się tego nauczyć, testować, sprawdzać. Wiem, wiem, to jest dla ludzi, i jeszcze parę lat temu pewnie bym przy tym przysiedział, ale dziś nie mam takiej możliwości czasowej.

A może źle rozumuję i powinienem właśnie włączyć ACL i zarządzać uprawnieniami z eksploratora windows?
Być może brzmi to jak herezja, ale nie mam możliwości aby testować rozwiązanie na żywym organizmie.

niemniej, dziękuję bardzo za obszerną pomoc.