BackupExec access to FreeNAS9.10.2-U1 (86c7ef5) Доступ к шаре.

Status
Not open for further replies.

generald

Dabbler
Joined
Feb 28, 2017
Messages
11
Добрый день. есть система:
FreeNAS-9.10.2-U1 (86c7ef5)
есть настроенный Active Directory (шары работают и настроены через АД)
Для FreeNAS создана утечка в AD FSAdmin
под этой же учеткой работает и связь FreeNAS с AD
Учетка FSAdmin - имеет полный доступ на все шары сервера.


Есть сервер с ПО BackupExec 15
захожу под учеткой FSAdmin. открываю \\сервер\шара - Все работает проваливаюсь во все каталоги, и пр. полный доступ.
открываю backuupExec подключаюсь к серверу freenas - подключение проходит. открывает мне все созданные шары (вижу их список), но не под какой учеткой, внутрь шар я попасть не могу!!!

ВОПРОС:
1. кто сталкивался - и что делать?
3. ГДЕ во FREENAS ЛОГ ДОСТУПА к шарам? авторизация, ошибки дотсупа!? - не в каком из логов на syslog сервере я не нашел ни чего...
 

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
Под какой учеткой запускается BackupExec? Скорее всего, это сервис. Посмотреть в свойствах сервиса.
 

generald

Dabbler
Joined
Feb 28, 2017
Messages
11
Под какой учеткой запускается BackupExec? Скорее всего, это сервис. Посмотреть в свойствах сервиса.
Во первых службы запускаются от имени того же FSadmin, во вторых при подключении к серверу для бэкапировапния, есть возможность задать учетную запись от имени которой попасть на тот или иной ресурс.
 

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
>>есть настроенный Active Directory (шары работают и настроены через АД)
>>Для FreeNAS создана утечка в AD FSAdmin

Уточните, ACL шары настроены в FreeNAS, или в свойствах шары с Win машины через проводник от имени админа АД ?
 

generald

Dabbler
Joined
Feb 28, 2017
Messages
11
>>есть настроенный Active Directory (шары работают и настроены через АД)
>>Для FreeNAS создана утечка в AD FSAdmin

Уточните, ACL шары настроены в FreeNAS, или в свойствах шары с Win машины через проводник от имени админа АД ?

Свойства шары, выглядят таким образом:

Хранилища->ТОМ=Upload->НаборДанных=Upload
Тип общего ресурса WINDOWS
Изменение Разрешений:
Изменить права для /mnt/Upload к:
Применить владельца (пользователя): ДА
Владелец (пользователь): MYUSERNAME - Моя учетная запись администратора домена. (не FSADMIN)
Применить владельца (группу): ДА
Владелец (группа): wheel
Применить режим: ДА
РАЖИМ: - НЕТ НИ ОДНОЙ ГАЛОЧКИ
ТИП ПРАВ: WINDOWS
Установить права рекурсивно: НЕТ

Общие Ресурсы WINDOWS (SMB)
Upload
Применить разрешения по умолчанию: ДА
Видимый для клиентов сети: ДА
Объекты VFS: streams_xattr aio_pthread

Все права я раздаю открываюя шару на Windows машине, удаляю все разрешения. и устанавливаю AD пользователей и групп.
 
Last edited:

Mihalich

Patron
Joined
Mar 14, 2017
Messages
297
У меня так сделано:
Owner (group): "МОЙ_ДОМЕН\Администраторы домена"
а Owner (user): root
 

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
У меня заведена специальная группа Backupadmins, куда входит и админ домена. Соответственно, так же указано в FreeNAS:
Owner (group): "МОЙ_ДОМЕН\Backupadmins"
а Owner (user): "МОЙ_ДОМЕН\admin"
 

Mihalich

Patron
Joined
Mar 14, 2017
Messages
297

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
Смысл - в безопасности и разграничении прав. Доступ к шаре для бакапа имеют только админ бакапа и доменный админ.
 

Mihalich

Patron
Joined
Mar 14, 2017
Messages
297
Смысл - в безопасности и разграничении прав. Доступ к шаре для бакапа имеют только админ бакапа и доменный админ.
Надо полагать, что права у пользователей в группе Backupadmins ниже чем у юзеров группы Администраторы домена?
 

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
Можно завести администратора бакапа, который не имеет прав админа домена, и от его учетки запускать софт. А назначение прав на шару (и на другие ресурсы) делается для одной группы - не надо перечислять всех.
 

generald

Dabbler
Joined
Feb 28, 2017
Messages
11
Еще раз, я уже написал, о том, что:
Для FreeNAS создана утечка в AD FSAdmin
под этой же учеткой работает и связь FreeNAS с AD
Учетка FSAdmin - имеет полный доступ на все шары сервера.

это как раз то, о чем вы и говорите - создан спец юзер домена который имеет права на шары. вопрос именно в том: ГДЕ МАТЬ ЕГО ЛОГИ в которых написано по какой причине тому или иному юзеру ОТКАЗАНО в доступе или предоставлен доступ!?
 

Yuriy

Explorer
Joined
Nov 6, 2016
Messages
72
У Вас в правах на датасет указана группа wheel:
<<Владелец (пользователь): MYUSERNAME - Моя учетная запись администратора домена. (не FSADMIN)
<<Применить владельца (группу): ДА
<<Владелец (группа): wheel

Попробуйте там указать группу из АД, в которую входят админ и FSAdmin.
 

Mihalich

Patron
Joined
Mar 14, 2017
Messages
297
Ещё раз: попробуйте поменять группу (владелец) на доменную
 

chs

Guru
Joined
Apr 18, 2017
Messages
500
Интересно - а где в виндах есть такие логи в которых "написано по какой причине тому или иному юзеру ОТКАЗАНО в доступе или предоставлен доступ!?" ?

А по теме - шары это samba - а логи самбы в /var/log/samba4/ настройки samba в /usr/local/etc/smb4.conf.
Стоит ли менять ручками или как-то извернуться в настройке через web-интерфейс - не могу сказать. В самой самбе аудит есть. Можно ли его прикрутить к FreeNAS - не знаю.

Возможно надо как-то прописать FSAdmin в группу FreeNAS ? Тут был пост на форуме про разницу в ACL FreeNAS и samba.

upload_2017-9-27_11-34-57.png
 
Last edited:

rezvit

Cadet
Joined
Dec 21, 2017
Messages
1
Может уже поздно, но я сам столкнулся с подобной проблемой. Решение: нужно отнять у учетки FSAdmin полный доступ к шаре. Вернее оставить все кроме прав смены разрешений и права смены владельца. BackupExec по какой-то неведомой причине сам меняет права на папку при первом обращении. Причем меняет на какие-то стандартные в его понимании, добавляя владельца, группу Администраторов и удаляя те группы, что были, а значит лишая самого себя права записи\чтения. Отсюда и ошибка типа "Access denied".
 
Status
Not open for further replies.
Top