Aller au contenu

Question

Bonjour à tous,

 

Je travaille dans une entreprise ayant récemment fait l'acquisition d'un NAS QNAP TS-269L, mis en jour en dernière version 4.1.1 (03/10/2014). Ce NAS est destiné à stocker nos sauvegardes de données et nos archives... Si le stockage des sauvegardes se passe très bien, la gestion des droits sur les archives est beaucoup plus délicate.

 

Pour expliquer rapidement notre organisation, nous utilisons un service Active Directoy pour gérer les comptes des utilisateurs et les droits. Chaque service à un groupe et les comptes des employés du service sont rattachés au groupe correspondant. Pour nos archives, nous avons un dossier principal "Archives" qui est partagé et auquel tout le monde à accès en lecture seule, puis un sous-dossier pour chaque service auquel seuls les membres du service ont accès (toujours en lecture seule).

 

Le dossier "Archives" a donc été créé via l'interface du NAS, puis partagé avec le groupe "Utilisateur du domaine" (soit tout le monde) en lecture seule. Les options "Activer les autorisations avancées sur les dossiers" et "Activer Windows ACL Support" ont été activées. Puis, via l'explorateur Windows, les droits ont été donnés sur les sous-dossiers pour chaque service.

 

Le problème est que les accès sont complètement erratiques:

  • J'ai un utilisateur qui ne peut même pas afficher le dossier de base ("\\NAS") pour voir les dossiers proposés et même en accès direct sur un sous dossier ne fonctionne pas (par exemple "\\NAS\Archives"). J'ai essayé de lui donner les droits explicitement sur un dossier partagé de test (en utilisant nominativement son compte Active Directory), pas mieux.
  • J'ai certains utilisateurs, pourtant membres des bons groupes qui ne peuvent pas accéder au dossier de leurs services.
  • Aujourd'hui, j'ai un utilisateur qui a intégré un nouveau service, j'ai donc ajouté son compte au groupe du nouveau service: il a bien accès au dossier de son service historique, mais pas du tout au dossier de son nouveau service ...

 

Bref, je désespère d'arriver à faire fonctionner correctement les partages sur ce NAS ... c'est la raison de l'ouverture de ce topic.

Ai-je mal fait les choses pour paramétrer les droits ? Ai-je manqué quelque chose ? Avez-vous des idées pour m'aider à résoudre ces problèmes ?

 

Je vous remercie par avance d'avoir lu ce pavé, n'hésitez pas à demander si vous avez besoin de précisions.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

3 réponses à cette question

Messages recommandés

  • 0

Premier message...alors bienvenue sur le forum.

 

Déterminez dès le départ la méthode qui gèrera les droits selon vos besoins et tout devrait bien aller par la suite...en théorie... :icon_lol:

 

1-Juste les droits sur le nas ?

2-Juste les droits dans Windows ?

3-Les deux ensemble ?

 

Si vous prenez les deux ensemble il faut comprendre ceci; pour attribuer différentes permissions à un utilisateur ou à un groupe d’utilisateurs, une permission de contrôle total au niveau du partage (droits linux ou sur le nas) doit être attribuée à l’utilisateur ou au groupe d’utilisateurs si vous utilisez les acl. Ensuite il faudra attibuer les droits (restreints ou pas) sous Windows.

 

Ce que vous n'avez pas fait...je crois; Pour nos archives, nous avons un dossier principal "Archives" qui est partagé et auquel tout le monde à accès en lecture seule

 

Plus d'informations ici;

 

http://docs.qnap.com/nas/4.0/fr/index.html?share_folders.htm

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Merci pour votre accueil et votre réponse.

 

Au niveau de la méthode, j'avoue ne pas trop savoir. La personne qui a mis en place les dossiers me dit que sans les ACL Windows avancés activés, il lui semble qu'il n'était pas possible de contrôler les droits sur les sous-dossiers via l’interface du NAS: ce qui est problématique pour notre usage. Vous confirmez ?

Si c'est effectivement le cas, les droits Linux du NAS ne suffiront pas pour l'usage (à moins de remonter tous les sous-dossiers d'un niveau ...).

Sinon, je pense que les droits sur le NAS seuls pourraient suffire pour notre usage puisqu’à priori, il n'est pas demandé de pouvoir modifier les droits à la volée.

 

Concernant la présence d'une permission de contrôle total sur le partage, effectivement, ce droit n'existe pas puisque le dossier parent est censé être en lecture seule pour tout le monde. Après avoir mis ce droit sur le groupe "Utilisateurs du domaine" (le groupe le plus large que l'AD de l'entreprise possède), effectivement, mon utilisateur qui n'avait aucun accès sur le NAS a pu s'y connecter.

Le problème maintenant est d'interdire la création de fichiers à la racine du partage ^^' En faisant des tests avec les droits Windows sur le dossier partagé, je peux mettre une permission "Refuser" sur la modification pour des sous-groupes de services. Vous pensez que c'est une bonne solution ?

 

Merci en tout cas pour l'astuce de la permission parente en contrôle total, j'étais complètement passé au travers. Je vais laisser les choses en l'état pour le moment, le temps de voir si mes "utilisateurs à problème" ont encore des soucis d'accès avant d'essayer de restreindre les droits sur le dossier partagé.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour,

 

En déplacement, je ne peux rentrer dans les détails mais :

1 droits simples Read,Write,Execute à la Linux sont transformés en droits DOS pour les postes clients ... les droits s'héritent du partage vers les sous-dossiers

... ces droits se gèrent via le QNAP (Web Admin)

2 droits ACL Linux ... liés aux utilisateurs avec droits différents  par sous-dossiers et type d'utilisateurs (A.D. ou locaux)

... ces droits se gèrent via le QNAP (Web Admin), après activation (nouveaux menus dans les droits)

3 droits ACL Windows ... invisible du QNAP et de Linux ... obligatoirement géré par un client Windows administrateur

...

 

Les combinaisons sont possibles pour avoir droits Linux et Windows en cohérence ...

 

Philippe.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • Contenu similaire

    • Par i60bpm
      Bonjour,
      j'ai réinstallé windows 10 et je peux depuis ce même pc accéder à mes fichiers partagés sur mes deux autres pc Win7 avec authentification.
      Win 10 refuse d'accéder au nas car je n'ai pas d'authentification en local sur mon NAS;
      en essayant cette méthode, ca fonctionne, mais je la trouve risquée !
      Reconfigurer le client SMB du poste :  Set-SmbClientConfiguration -EnableInsecureGuestLogons $True
      Je voudrais configurer le protocole SMB du NAS, mais je bloque, pouvez vous m'aider ?
       
      Merci d'avance !
    • Par gtroadec
      Bonjour,
      Ma configuration :
      NAS : TS-451+ / QTS 4.3.4.0486 PC : Win 10 Pro (sur profil admin, pare-feu Windows Defender actif) Ca fait des heures que je me casse la tête. J'ai essayé des dizaines de paramétrage différent et épluché le forum sans résultat. Je me résout à poser à ma question...
      Mon objectif : afin de faciliter l'accès à différents partages, j'ai créé un regroupement de dossier.  Je veux maintenant créer un lecteur réseau qui pointe vers ce regroupement.
      Ce qui se passe :
      - je peux sans problème créer plusieurs lecteurs réseaux qui pointent vers les différents partages. C'est lourd, c'est ce que je veux éviter. Mais je l'ai fait une fois pour m'assurer qu'il n'y avait pas de problèmes de droits sur ces partages.
      - lorsque je crée mon lecteur réseau, je vois bien le dossier de regroupement ("trc")
      - lorsque je valide la création du lecteur, j'obtiens le message "Windows ne peut pas accéder à \\192.168.2.1\trc (capture d'écran en pj).

      Est-ce que vous savez ce que j'ai raté ?
      Merci et bonne soirée,
    • Par anonyme74
      Bonjour,
      J'ai un problème de visibilité de certains répertoires et fichiers :  J'ai créé un répertoire "Societe". Tout les utilisateurs et groupes ont les droits sur ce répertoire. J'ai fait une synchronisation de répertoires et fichiers avec rsync depuis un PC linuc vers le NAS QNAP.
      1) Par l'interface web en admin, je ne vois pas les fichiers et répertoires créés via rsync. Par fileZilla et putty je vois bien ces répertoires et fichiers.
      2) Dans ce répertoire société, j'ai créé 2 sous-répertoires : A et B avec l'interface web et filestation. Je ne vois pas ces sous-répertoires avec putty ou fileZilla.
      Connexion en admin. J'ai aussi modifié les droits pour tester en mettant chmod 777. Je ne comprends pas le probème.
      Merci pour votre aide.
      B
    • Invité
      Par Invité
      Bonjour,
      Jeune Qnapeur avec un TS-653 Pro depuis 2 semaines, je fait appel a vos connaissances/expériences pour m'aider a régler un problème de droits uniquement avec NFS. En effet, aucun problème a signaler avec FTP ou SMB...
      Quelques infos sur la configuration et l'environnement :
      - NAS Qnap TS-653 Pro
      - PC Multiboot Ubuntu 14.04 LTS et Windows 10 Pro x64.
      - Les UID du PC Ubuntu ont étés modifiées pour correspondre a celles du NAS
      - Même si ca n'est théoriquement pas nécessaire avec NFS, les noms d'utilisateurs et mots de passe sont les mêmes entre le NAS et mes 2 OS (Ubuntu et Windows 10)
      - Le problème rencontré avec NFS ne concerne que NFS. Je n'ai pas ce problème en FTP ni SMB.
      - Dans la maigre configuration que propose le NAS concernant NFS, l'IP (fixe) du PC est indiquée afin de ne permettre qu'a cette machine d’accéder aux partages du NAS (pour NFS bien sur).
      - Les "autorisations avancées sur les dossiers" est activé (je le signale au cas ou ca aurait une importance que j'ignore...). Cependant il n'y a aucune autorisations spéciales sur le dossier homes.
      Le cœur du problème :
      Au démarrage d'Ubuntu, tout va bien. Les 4-5 dossiers sont biens montés et accessibles. Cependant, le dossier /homes ou apparaissent les utilisateurs "admin", "user1" et "user2" sont accessibles en lecture/écriture quelque soit la session ouverte sur Ubuntu... User1 peut donc accéder au home du user2 et lire/écrire dedans. Sur mon ancien NAS Netgear ReadyNAS DUOv2, le dossier home faisait atterrir directement dans le dossier du user concerné /homes/user1/ par exemple. Que les users voient les différents dossiers dans /homes ne me gène pas par contre ce qui me gène beaucoup plus c'est que finalement tout le monde peut aller chez tout le monde faire ce qui lui plait...
      Sous Windows 10, avec SMB, l'accès au dossier home ne liste pas les dossiers utilisateurs du NAS mais fait bien atterrir l'utilisateur dans son propre dossier sur le NAS.
      J'ai essayer les quelques options (malheureusement très peu nombreuses) que propose le NAS mais rien n'y fait. Les UID/GID anonymes sont ceux par défauts a savoir "Guest" et en essayant de modifier les 4 options root_squash/no_root_squash/all_squash et no_all_squash... c'est pareil. Dans le meilleurs des cas, j'ai réussi a empêcher un user a accéder a son propre home mais par contre il ne pouvait plus non plus écrire dans celui des autres...
      Je dois avouer que les options squash ne sont pas très claires pour moi malgré différents sites parcourus sur le sujet. Rediriger le root local vers anonyme du serveur ou je ne sais quoi... j'suis un peu perdu. Dois-je justement modifier ceux par défaut qui sont "guest" dans le NAS ?
      En vous remerciant d'avance pour m'avoir lu jusqu'au bout...
    • Par Traise
      Bonjour
      J'ai le problème suivant sur un NAS TS-453 firmware 4.2.1 :
      Suite à un attaque de cryptolocker  (cryptxxx v3 à priori) les utilisateurs du domaine windows n'ont plus accès aux fichiers partagés du NAS.
      J'ai tenté de repartir de 0 (redémarrage du service samba, remontée du nas sur le domaine, réapplication des différents droit sur les dossiers...), rien n'y change. Le nas me remonte bien la liste des utilisateurs et groupes du domaine mais ce n'est apparemment pas effectif.
      Si j'active le partage avancé j'ai le message d'erreur :
      [Advanced Folder Permissions] ACL user/group not found: "Domaine\Utilisateur" Pour dépanner temporairement j'ai ouvert les droits d'accès invité.
      Quelqu’un a t il une solution ?
×