NAS: Oprávnění ve Windows, directory server
9.4.2013, Radan Tuhý, návod
Jako uživatelé Windows se nemusíte omezovat na systém oprávnění NASu, ale můžete využít tzv. ACL, jehož aktivace dovoluje spravovat oprávnění přímo z Windows. Nároční uživatelé si také mohou nainstalovat vlastní adresářový server. Přečtěte si, jak na to.
Kapitoly článku:
- Jaké máme možnosti, trocha teorie
- Aktivace, konfigurace a využití ACL
- Instalujeme Synology Directory Server
- Instalace LDAP klienta ve Windows, závěr
Vlastnictví NASu a jeho využívání jako centrálního úložiště dat s sebou přináší celou řadu výhod. K datům mohou přistupovat jednotliví uživatelé lokální sítě nezávisle na sobě, sdílet mezi sebou dokumenty, multimédia a podobně. Podrobný návod na konfiguraci NASu pro tento účel jsme si vysvětlili v našem předchozím článku NAS: Práce s daty a sdílení pro pokročilé.
Pokud jste uživatelé operačního systému Windows, možná si říkáte, že je poměrně nešikovné nastavovat oprávnění pouze za pomocí linuxového systému oprávnění, tedy za pomocí lokálních uživatelských účtů a skupin v rámci webového administračního rozhraní NASu. Mnozí z vás by pravděpodobně uvítali možnost konfigurovat oprávnění přímo ve Windows.
Oprávnění je příjemné konfigurovat přímo z Windows (Obrázek pochází z webu Synology).
Dobrou zprávou je, že tato možnost tady skutečně existuje. Máme dokonce k dispozici i několik konkrétních způsobů, jak toho dosáhnout, přičemž jednotlivé možnosti budou do značné míry záviset na tom, jaké máme v rámci naší lokální sítě možnosti. V úvahu přichází následující varianty:
V našem dnešním článku se zaměříme na poslední dva body, tedy na ACL bez domény (připojení k doméně zmíníme jenom velmi stručně) a instalaci vlastního adresářového serveru. Nejprve ale trocha teorie, abychom věděli, co vlastně budeme konfigurovat.
Pokud hovoříme o ACL, máme v této souvislosti na mysli zkratku z anglického Access Control List, který sestává ze seznamu jednotlivých Access Control Entries, zkráceně ACE, které jsou napojeny na jednotlivé objekty - typicky se jedná o soubory a adresáře. Takový seznam si můžeme představit například následujícím způsobem:
grant: users – read
grant: administrators - modify
deny: karel - full control
Pokud je tento seznam napojen např. na adresář Documents, tak všichni uživatelé ve skupině users mají k této složce oprávnění ke čtení, uživatelé ve skupině administrators mají oprávnění pro čtení a zápis, to vše s výjimkou uživatele karel, který má přístup kompletně zakázán.
Tento systém je specifický především pro operační systémy Windows, který tímto způsobem nastavuje oprávnění k jednotlivým objektům (a to např. i k jednotlivým aplikacím). V našem případě je dobré vědět, že aktivací ACL na našem NASu dojde prakticky ke zpřístupnění záložky Zabezpečení (Security), kde je možné u jednotlivých souborů a složek modifikovat oprávnění, a to třeba včetně dědičnosti (inheritance).
Pokročilejší forma správy uživatelských účtů a skupin oprávnění nabízí vlastní adresářová služba, respektive funkční adresářový server. Takto je alespoň pojmenován balíček od Synology, který v praxi poskytuje adresářovou službu LDAP (z anglického Lightweight Directory Access Protocol). V databázi na serveru se pak nachází všechny potřebné uživatelské účty a skupiny, které lze využít na všech zařízeních, které jsou schopny tuto službu využívat k autentifikaci.
Díky adresářové službě stačí jedny přihlašovací údaje (obrázek pochází z webu Synology).
Tento způsob správy uživatelských účtů se vyplatí především v případě, že máme více NASů, ke kterým uživatelé naší sítě můžou přistupovat. Není tedy pak nutné vytvářet stejnou sadu uživatelů a skupin, ale jednoduše NAS připojíme k již existujícím adresářovému serveru. Databázi je pak možné samostatně zálohovat.
Tato část není až tak složitá, jak by se mohlo na první pohled zdát. Drobná nevýhoda spočívá v tom, že operační systémy Windows v sobě nemají integrovaného LDAP klienta (na rozdíl od Linuxu a OS X). To lze ale vyřešit právě instalací LDAP klienta, což si ukážeme v odpovídající kapitole.
Nejprve se ale pojďme podívat na výše uvedený ACL, tedy jeho aktivaci, konfiguraci a využití v praxi.
Pokud jste uživatelé operačního systému Windows, možná si říkáte, že je poměrně nešikovné nastavovat oprávnění pouze za pomocí linuxového systému oprávnění, tedy za pomocí lokálních uživatelských účtů a skupin v rámci webového administračního rozhraní NASu. Mnozí z vás by pravděpodobně uvítali možnost konfigurovat oprávnění přímo ve Windows.
Oprávnění je příjemné konfigurovat přímo z Windows (Obrázek pochází z webu Synology).
Dobrou zprávou je, že tato možnost tady skutečně existuje. Máme dokonce k dispozici i několik konkrétních způsobů, jak toho dosáhnout, přičemž jednotlivé možnosti budou do značné míry záviset na tom, jaké máme v rámci naší lokální sítě možnosti. V úvahu přichází následující varianty:
- NAS + aktivace ACL v kombinaci s vlastní doménou - tato možnost je optimální za předpokladu, že máme vlastní doménu (resp. doménový controller), do které NAS přidáme
- NAS + aktivace ACL bez domény - pokud nemáme vlastní doménu, stále lze na NASu aktivovat ACL, budeme jen využívat již vytvořené lokální účty. Výhodou je více možností konfigurace oprávnění, jak jsme zvyklí z Windows
- NAS + vlastní adresářový server - tato varianta je vhodná pro náročnější uživatele, kteří chtějí provozovat vlastní directory server
V našem dnešním článku se zaměříme na poslední dva body, tedy na ACL bez domény (připojení k doméně zmíníme jenom velmi stručně) a instalaci vlastního adresářového serveru. Nejprve ale trocha teorie, abychom věděli, co vlastně budeme konfigurovat.
ACL - Access Control List
Pokud hovoříme o ACL, máme v této souvislosti na mysli zkratku z anglického Access Control List, který sestává ze seznamu jednotlivých Access Control Entries, zkráceně ACE, které jsou napojeny na jednotlivé objekty - typicky se jedná o soubory a adresáře. Takový seznam si můžeme představit například následujícím způsobem:
grant: users – read
grant: administrators - modify
deny: karel - full control
Pokud je tento seznam napojen např. na adresář Documents, tak všichni uživatelé ve skupině users mají k této složce oprávnění ke čtení, uživatelé ve skupině administrators mají oprávnění pro čtení a zápis, to vše s výjimkou uživatele karel, který má přístup kompletně zakázán.
Tento systém je specifický především pro operační systémy Windows, který tímto způsobem nastavuje oprávnění k jednotlivým objektům (a to např. i k jednotlivým aplikacím). V našem případě je dobré vědět, že aktivací ACL na našem NASu dojde prakticky ke zpřístupnění záložky Zabezpečení (Security), kde je možné u jednotlivých souborů a složek modifikovat oprávnění, a to třeba včetně dědičnosti (inheritance).
Adresářový server – Directory Server
Pokročilejší forma správy uživatelských účtů a skupin oprávnění nabízí vlastní adresářová služba, respektive funkční adresářový server. Takto je alespoň pojmenován balíček od Synology, který v praxi poskytuje adresářovou službu LDAP (z anglického Lightweight Directory Access Protocol). V databázi na serveru se pak nachází všechny potřebné uživatelské účty a skupiny, které lze využít na všech zařízeních, které jsou schopny tuto službu využívat k autentifikaci.
Díky adresářové službě stačí jedny přihlašovací údaje (obrázek pochází z webu Synology).
Tento způsob správy uživatelských účtů se vyplatí především v případě, že máme více NASů, ke kterým uživatelé naší sítě můžou přistupovat. Není tedy pak nutné vytvářet stejnou sadu uživatelů a skupin, ale jednoduše NAS připojíme k již existujícím adresářovému serveru. Databázi je pak možné samostatně zálohovat.
Tato část není až tak složitá, jak by se mohlo na první pohled zdát. Drobná nevýhoda spočívá v tom, že operační systémy Windows v sobě nemají integrovaného LDAP klienta (na rozdíl od Linuxu a OS X). To lze ale vyřešit právě instalací LDAP klienta, což si ukážeme v odpovídající kapitole.
Nejprve se ale pojďme podívat na výše uvedený ACL, tedy jeho aktivaci, konfiguraci a využití v praxi.
