Всем привет!!!
Давайте подробно рассмотрим все нюансы и возможные настройки прав доступа на приложения и папки в Synology NAS.
Данные в этой статье будут полезны при использовании большого количества пользователей в одной системе. Если у вас домашний NAS или 1-2 пользователя, то вам не обязательно урезать права всем и тонко настраивать разрешения. Но знать что да как вполне нормально, может пригодиться,
В Synology DSM существует три типа сущностей для прав доступа:
- Локальные пользователи – это те сущности, которые являются логинами в приложениях и для которых задаются пароли.
- Локальные группы – это сущности для упрощения управления локальными пользователями. Пользователей можно объединять группы, что бы быстрее менять и настраивать права для папок и приложений сразу всей группе, а не каждому пользователю в отдельности.
- Внутренние пользователи системы – это пользователи, которые не видны в DSM, но они нужны для корректной работы внутренних процессов и служб.
- Еще могут быть объекты LDAP и AD, но принцип у них точно такой же, поэтому в данной статье я их рассматривать не буду.
Так же логика прав доступа в DSM очень простая на первый взгляд: Ели не разрешить, то запрещено, если запрещено, то уже не разрешить. Это работает так. Если пользователю или его группе не разрешить доступ к папке или приложению, то он будет запрещен. Если Пользователю разрешить доступ к папке или приложению, а его группе запретить, то доступ будет запрещен.
При возникновении конфликта между разрешениями, назначенными пользователю и группе, к которой он принадлежит, разрешения определяются уровнем разрешений в следующем порядке: Нет доступа (NA) > Чтение/запись (RW) > Только для чтения (RO).Это фундаментальное правило в DSM
Я считаю, что настройку прав на приложения нужно начинать с “Права доступа к приложению” в панели управления DSM.
Рекомендую тут что-то менять, если у вас много пользователей и групп.
В этом окне можно отредактировать права доступа приложений для пользователей и групп, а так же права которые будут назначаться этим сущностям по умолчанию, когда они будут создаваться. Так же в этом окне можно проверить эти самые права на приложения для любых сущностей.
Рекомендую тут что-то менять, если у вас много пользователей и групп.
Я рекомендую, но очень осторожно, убрать все галочки для приложений по умолчанию. Что бы изначально все было запрещено, так как не разрешено. Это похоже на тавтологию, но это так. Вы убираете галочку разрешить по умолчанию, тем самым, если не стоит галочка разрешить для пользователя или группы, то доступ будет запрещен.
На третьем скрине будьте осторожны. Если удалить все права по умолчанию у приложения DSM и не разрешить хотя бы одному пользователю или группе пользователей доступ в DSM, то никто не сможет войти в DSM. Что бы войти придется сбрасывать логин и пароль DSM.
В идеале должно быть так
А группа администраторов иметь доступ к DSM в состоянии разрешено
Это чисто мое видение, я не настаиваю на этом. Будьте крайне осторожны когда делаете то что сказано выше. Это хорошо будет работать когда у вас много пользователей и групп. Для домашнего пользователя с небольшим количеством сущностей проще сделать это как будет сказано ниже.
Если вы сделаете как сказал я выше, то теперь что бы пользователь получил доступ к какому-либо приложению, ему или его группе нужно разрешить этот самый доступ к этому приложению или папке. С этого момента начнется настройка доступа не только к приложениям, но и к папкам.
Для настройки прав на приложения и папки переходим в панель управления и затем открываем пользователи и группы.
Пользователь admin и guest системные и по умолчанию должны быть деактивированы в целях безопасности.
В настройках пользователя или группы есть отдельно разрешения на папки и отдельно на приложения. Соответственно, идем в приложения и открываем или запрещаем доступ к этим приложениям. Сразу можно видеть предварительный вариант этой настройки. Это очень удобно. Тут же сразу обращаю внимание, если нет разрешающей галочки, то нет доступа к приложению, так как выше на первом этапе, я отключил все разрешения для приложений по умолчанию. А еще я говорил фундаментальное правило: Нет доступа (NA) > Чтение/запись (RW) > Только для чтения (RO).
Изменять настройки приложений могут только пользователи группы администраторов, остальные получают права в приложениях только как обычные пользователи. Для решения этой проблемы существует делегирование прав, когда администратор может делегировать права на управление приложением другому пользователю не из группы администраторов. Тем самым снять с себя нагрузку по управлению сервером.
Если у приложений два состояния: запрещено или разрешено, то у разрешений на паки состояний гораздо больше: нет доступа, только чтение и чтение\запись. Но на самом деле их еще больше, о чем будет рассказано ниже. Поэтому для пользователя или группы можно задать соответствующие разрешения на папки общего доступа.
Мой интерес вызывают пользовательские настройки прав доступа на папку, щелкнув на которые мы увидим примерно такое окно:
Это окно еще можно открыть через File Station, но об этом чуть позже.
Первым делом выбираем сущность. Это может быть либо группа, либо пользователь. Если это вложенный объект, то можно выбрать наследование. Затем идет тип, который меняется с разрешить на запретить. С запретами лучше не экспериментировать. Как я и говорил, если где-то стоит запрет, то он имеет приоритет над любыми разрешениями. В пункте “применить к” можно выбрать к каким объектам будет применяться это правило, только к этой пакпке или к подпапкам или файлам в этой папке.
Нужно немного пояснить по разрешениям:
- Администрирование:Права на изменение – данный параметр позволяет пользователю изменять разрешения к папке или файлу.
Стать владельцем – данный параметр позволяет пользователю стать владельцем папки или файла. - Чтение:Перебор папок/Выполнить файлы – данный параметр позволяет пользователю запускать файл программы.
Список папок/Чтение данных – данный параметр позволяет пользователю читать содержимое файла.
Чтение атрибутов – данный параметр позволяет пользователю просматривать атрибуты файла.
Чтение дополнительных атрибутов – данный параметр позволяет пользователю просматривать дополнительные атрибуты файла.
Права на чтение – данный параметр позволяет пользователю читать разрешения папки или файла. - Запись:Создание файлов/Запись данных – данный параметр позволяет пользователю изменять содержимое файла.
Создание папок/Дозапись данных – данный параметр позволяет пользователю добавлять данные в конец файла.
Атрибуты записи – данный параметр позволяет пользователю изменять атрибуты файла.
Запись дополнительных атрибутов – данный параметр позволяет пользователю изменять дополнительные атрибуты файла.
Удаление подпапок и файлов – данный параметр позволяет пользователю удалять подпапки и файлы.
Удалить – данный параметр позволяет пользователю удалять файл.
Все что было сказано выше имеет отношение к папкам общего доступа. Это так скажем главная папка подпапок ))). Но еще гибче разрешения на папки можно устанавливать через File Station. Просто выбрать нужную папку и нажать свойства, а затем перейти в разрешения.
Тут открывается дивный мир настроек прав доступа. Можно добавлять различные сущности и гибко настраивать права доступа, главное не запутаться. Помните всегда одно правило, что чем проще тем всегда лучше.
Теперь давайте усложним задачу. Допустим, нам нужно, что один пользователь Prople1 имел доступ только на чтение к папке общего доступа Papka1 и ее подпапкам, но в папку Test он имел полный доступ на чтение и запись и удаление из нее чего-либо. А при этом саму папку Test он удалить не мог.
Для этого идем в панель управления, папки общего доступа, редактировать нашу папку, разрешения и устанавливаем пользователю права только на чтение.
Теперь открываем File Station и переходим в свойства папки Test, а затем вкладка разрешения. Тут видно все существующие разрешения на данную подпапку и они серые, так как она наследует их от папки выше.
Нажмем кнопку создать и добавим сущность в виде нашего пользователя prople. Напомню, что тут могут быть и группы и не одна. Тип установим в разрешить. В разделе разрешения для нашей задачи нужно выбрать все поля на чтение, а вот на запись все кроме одной “Удалить”. Затем нажать выполнено.
В итоге получим такие разрешения на подпапку Test
В итоге мы получим то что хотели. Пользователь prople1 может иметь доступ только на чтение к папке общего доступа Papka1 и ее подпапкам, но внутри подпапки Test он может создавать, редактировать и удалять папки и файлы, а саму папку Test он удалить или изменить не может.
Система DSM позволяет очень гибко настраивать разрешения на приложения и папки, практически безграничные возможности. Минус только один: если настраивать такие гибкие права, то можно легко запутаться и не понимать, почему при разрешении на что-либо, доступ по-прежнему запрещен.