Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

NAS: Oprávnění ve Windows, directory server

9.4.2013, Radan Tuhý, návod
NAS: Oprávnění ve Windows, directory server
Jako uživatelé Windows se nemusíte omezovat na systém oprávnění NASu, ale můžete využít tzv. ACL, jehož aktivace dovoluje spravovat oprávnění přímo z Windows. Nároční uživatelé si také mohou nainstalovat vlastní adresářový server. Přečtěte si, jak na to.
Vlastnictví NASu a jeho využívání jako centrálního úložiště dat s sebou přináší celou řadu výhod. K datům mohou přistupovat jednotliví uživatelé lokální sítě nezávisle na sobě, sdílet mezi sebou dokumenty, multimédia a podobně. Podrobný návod na konfiguraci NASu pro tento účel jsme si vysvětlili v našem předchozím článku NAS: Práce s daty a sdílení pro pokročilé.

Pokud jste uživatelé operačního systému Windows, možná si říkáte, že je poměrně nešikovné nastavovat oprávnění pouze za pomocí linuxového systému oprávnění, tedy za pomocí lokálních uživatelských účtů a skupin v rámci webového administračního rozhraní NASu. Mnozí z vás by pravděpodobně uvítali možnost konfigurovat oprávnění přímo ve Windows.



Oprávnění je příjemné konfigurovat přímo z Windows (Obrázek pochází z webu Synology).


Dobrou zprávou je, že tato možnost tady skutečně existuje. Máme dokonce k dispozici i několik konkrétních způsobů, jak toho dosáhnout, přičemž jednotlivé možnosti budou do značné míry záviset na tom, jaké máme v rámci naší lokální sítě možnosti. V úvahu přichází následující varianty:
  • NAS + aktivace ACL v kombinaci s vlastní doménou - tato možnost je optimální za předpokladu, že máme vlastní doménu (resp. doménový controller), do které NAS přidáme
  • NAS + aktivace ACL bez domény - pokud nemáme vlastní doménu, stále lze na NASu aktivovat ACL, budeme jen využívat již vytvořené lokální účty. Výhodou je více možností konfigurace oprávnění, jak jsme zvyklí z Windows
  • NAS + vlastní adresářový server - tato varianta je vhodná pro náročnější uživatele, kteří chtějí provozovat vlastní directory server

V našem dnešním článku se zaměříme na poslední dva body, tedy na ACL bez domény (připojení k doméně zmíníme jenom velmi stručně) a instalaci vlastního adresářového serveru. Nejprve ale trocha teorie, abychom věděli, co vlastně budeme konfigurovat.


ACL - Access Control List


Pokud hovoříme o ACL, máme v této souvislosti na mysli zkratku z anglického Access Control List, který sestává ze seznamu jednotlivých Access Control Entries, zkráceně ACE, které jsou napojeny na jednotlivé objekty - typicky se jedná o soubory a adresáře. Takový seznam si můžeme představit například následujícím způsobem:

grant: users – read
grant: administrators - modify
deny: karel - full control

Pokud je tento seznam napojen např. na adresář Documents, tak všichni uživatelé ve skupině users mají k této složce oprávnění ke čtení, uživatelé ve skupině administrators mají oprávnění pro čtení a zápis, to vše s výjimkou uživatele karel, který má přístup kompletně zakázán.





Tento systém je specifický především pro operační systémy Windows, který tímto způsobem nastavuje oprávnění k jednotlivým objektům (a to např. i k jednotlivým aplikacím). V našem případě je dobré vědět, že aktivací ACL na našem NASu dojde prakticky ke zpřístupnění záložky Zabezpečení (Security), kde je možné u jednotlivých souborů a složek modifikovat oprávnění, a to třeba včetně dědičnosti (inheritance).


Adresářový server – Directory Server


Pokročilejší forma správy uživatelských účtů a skupin oprávnění nabízí vlastní adresářová služba, respektive funkční adresářový server. Takto je alespoň pojmenován balíček od Synology, který v praxi poskytuje adresářovou službu LDAP (z anglického Lightweight Directory Access Protocol). V databázi na serveru se pak nachází všechny potřebné uživatelské účty a skupiny, které lze využít na všech zařízeních, které jsou schopny tuto službu využívat k autentifikaci.



Díky adresářové službě stačí jedny přihlašovací údaje (obrázek pochází z webu Synology).


Tento způsob správy uživatelských účtů se vyplatí především v případě, že máme více NASů, ke kterým uživatelé naší sítě můžou přistupovat. Není tedy pak nutné vytvářet stejnou sadu uživatelů a skupin, ale jednoduše NAS připojíme k již existujícím adresářovému serveru. Databázi je pak možné samostatně zálohovat.

Tato část není až tak složitá, jak by se mohlo na první pohled zdát. Drobná nevýhoda spočívá v tom, že operační systémy Windows v sobě nemají integrovaného LDAP klienta (na rozdíl od Linuxu a OS X). To lze ale vyřešit právě instalací LDAP klienta, což si ukážeme v odpovídající kapitole.

Nejprve se ale pojďme podívat na výše uvedený ACL, tedy jeho aktivaci, konfiguraci a využití v praxi.