NAS: Práce s daty a sdílení pro pokročilé
8.3.2013, Radan Tuhý, návod
Primární funkcí NASu, tedy síťového úložiště dat, je ve většině případů ukládání dat a práce s dokumenty a soubory. Aby bylo možné tuto funkcionalitu využít co nejlépe, připravili jsme článek, který se zabývá pokročilými funkcemi a možnostmi.
Kapitoly článku:
Jednou z prvních věcí, na kterou bychom měli po zprovoznění našeho NASu myslet, je vytvoření přehledné struktury dat. Jedině tak budeme mít v našich dokumentech a multimédiích skutečně přehled. Vhodná datová struktura navíc umožňuje poměrně jednoduše a efektivně nastavit oprávnění k jednotlivým složkám a souborům.
Pojmenování složek je samozřejmě individuální a mělo by co nejlépe reflektovat obsah, který bude následně na našem NASu uložen. Tím se pomalu dostáváme k další oblasti, kterou je oprávnění k jednotlivým složkám.
Jak jsme již zmínili v předchozích kapitolách, většina NASů (i včetně našeho referenčního modelu od Synology) má firmware (tedy operační systém) postavený na Linuxu. Tato skutečnost určuje mimo jiné také chování systému s ohledem na oprávnění souborů a složek. Abychom mohli efektivně tato oprávnění spravovat a následně také nastavit, je potřeba vědět, jak funguje systém oprávnění a vlastnictví. Proto si zde uvedeme alespoň základní vysvětlení.
Tento výpis souborů a složek jsme získali po připojení k NASu pomocí příkazové řádky a protokolu SSH a následným přesunutím se do adresáře /volume1. Příkazovou řádku jsme zvolili proto, že zobrazení všech informací je přehlednější, než se k nastavení proklikávat ve webové administraci.
Pro tuto chvíli jsou pro nás důležité informace v barevných obdélnících. Jak můžeme vidět, každý objekt má kromě svého názvu, velikosti a časové informace také přiřazenou právě jednu skupinu (group), vlastníka (user) a set oprávnění (červený obdélník).
Další důležitou věcí jsou jednotlivá oprávnění, která mají u adresářů a souborů lehce odlišný význam, ale v principu je dělíme na tři základní - tedy čtení (read), zápis (write) a spuštění (execute). Pomoci může i následující tabulka s odpovídajícím přehledem.
S těmito informacemi již není tak těžké odvodit, jaká oprávnění mají jednotlivé soubory a adresáře. K tomu, aby to bylo úplně jasné, poslouží následující infografika.
První písmenko slouží k označení typu objektu (obyčejný soubor (-), adresář (d), symbolický odkaz (l), apod.), no a pak následují tři trojice, přičemž první z nich definuje oprávnění pro vlastníka (user), další trojice pro skupinu (group) a poslední trojice pro všechny ostatní (other).
Pochopením tohoto systému máme vyhráno. Nyní se můžeme vrátit zpátky k našemu NASu a webovému rozhraní.
První konfigurovatelnou položkou jsou tedy skupiny, které v případe NASu od Synology nalezneme v ovládacím panelu. Ve výchozím nastavení máme vytvořeny dvě základní skupiny – administrators a users. Je samozřejmě možné vytvořit libovolný počet dalších skupin a přiřadit do nich jednotlivé uživatele. Jen je potřeba mít na paměti, že přiřazením do skupiny administrators získá daný uživatel i další dodatečná práva v rámci systému.
Dalším prvkem jsou jednotliví uživatelé. Z pohledu zabezpečení (a efektivní konfigurace oprávnění) je vhodné, aby každý uživatel měl svůj vlastní uživatelský účet s dostatečně silným heslem. Takto nějak tedy může vypadat seznam uživatelů.
Jakmile máme vytvořené uživatele a skupiny, zbývá již zmínit poslední bod, kterým je nastavení sdílené složky. Oprávnění pro sdílenou složku se obvykle nastavují samostatně a v praxi tím určujeme, kdo má oprávnění se ke sdílené složce připojit (bez ohledu na samotná oprávnění sdílených dat). Můžeme tedy sdílet složku pouze pro čtení, díky čemuž nebude mít uživatel možnost sdílená data ze vzdáleného zařízení editovat, a to i přesto, že má k souborům a složkám oprávnění pro zápis. Stejným způsobem je možné volitelně zakázat procházení obsahu adresářů, modifikaci souborů, případně jejich stažení (v našem případě tyto volby nalezneme v Advanced privileges).
Pro úplnost je dobré zmínit také fakt, že oprávnění lze konfigurovat jak pro jednotlivé uživatele, tak pro skupiny - to je ve většině případů lepší, jelikož je pak celková konfigurace oprávnění přehlednější.
Po úspěšném nastavení oprávnění sdílené složky (v našem případě adresáře shared) již sdílení funguje a uživatelé můžou procházet uložená data. To je ve většině případů žádoucí, ale může se stát, že chceme např. některé složky nakonfigurovat jinak (typicky odebrat přístup).
Zpravidla bude potřeba u jednotlivé složky přejít pomocí pravého tlačítka myši do vlastností (properties), kde v první záložce nalezneme vlastníka a skupinu. To již známe z předchozí části článku, takže můžeme nastavit požadované údaje a volitelně také zaškrtnout možnost replikace nastavení pro všechny vnořené složky a soubory.
Jakmile máme nastaveno, přejdeme na záložku Permission, ve které nalezneme v předchozím textu popisovaná oprávnění pro vlastníka, skupinu a ostatní. Dle toho, jakým způsobem tato oprávnění nastavíme, budou pak obsažená data přístupná pro jednotlivé uživatele.
Na nastavování oprávnění se vztahuje několik všeobecně platných doporučení, které bychom doporučili vzít během konfigurace v úvahu. Pokusíme se vyjmenovat ty nejdůležitější spolu se základním vysvětlením a popisem.
Je vyzkoušeno, že se do budoucna vyplatí dát si práci s náležitou konfigurací oprávnění hned na začátku. Pak již bude vše fungovat a my tak nebudeme muset do konfigurace oprávnění ve většině případů nijak zasahovat.
Pojmenování složek je samozřejmě individuální a mělo by co nejlépe reflektovat obsah, který bude následně na našem NASu uložen. Tím se pomalu dostáváme k další oblasti, kterou je oprávnění k jednotlivým složkám.
Jak funguje systém oprávnění v Linuxu
Jak jsme již zmínili v předchozích kapitolách, většina NASů (i včetně našeho referenčního modelu od Synology) má firmware (tedy operační systém) postavený na Linuxu. Tato skutečnost určuje mimo jiné také chování systému s ohledem na oprávnění souborů a složek. Abychom mohli efektivně tato oprávnění spravovat a následně také nastavit, je potřeba vědět, jak funguje systém oprávnění a vlastnictví. Proto si zde uvedeme alespoň základní vysvětlení.
Tento výpis souborů a složek jsme získali po připojení k NASu pomocí příkazové řádky a protokolu SSH a následným přesunutím se do adresáře /volume1. Příkazovou řádku jsme zvolili proto, že zobrazení všech informací je přehlednější, než se k nastavení proklikávat ve webové administraci.
Pro tuto chvíli jsou pro nás důležité informace v barevných obdélnících. Jak můžeme vidět, každý objekt má kromě svého názvu, velikosti a časové informace také přiřazenou právě jednu skupinu (group), vlastníka (user) a set oprávnění (červený obdélník).
Další důležitou věcí jsou jednotlivá oprávnění, která mají u adresářů a souborů lehce odlišný význam, ale v principu je dělíme na tři základní - tedy čtení (read), zápis (write) a spuštění (execute). Pomoci může i následující tabulka s odpovídajícím přehledem.
Oprávnění v Linuxu a jejich význam | ||
| Oprávnění | Význam u souboru | Význam u adresáře |
| r | Čtení souboru | Čtení názvů obsažených položek |
| w | Zápis do souboru | Vytváření souborů a adresářů |
| x | Spuštění souboru | Vstup do adresáře |
S těmito informacemi již není tak těžké odvodit, jaká oprávnění mají jednotlivé soubory a adresáře. K tomu, aby to bylo úplně jasné, poslouží následující infografika.
První písmenko slouží k označení typu objektu (obyčejný soubor (-), adresář (d), symbolický odkaz (l), apod.), no a pak následují tři trojice, přičemž první z nich definuje oprávnění pro vlastníka (user), další trojice pro skupinu (group) a poslední trojice pro všechny ostatní (other).
Pochopením tohoto systému máme vyhráno. Nyní se můžeme vrátit zpátky k našemu NASu a webovému rozhraní.
Nastavení oprávnění v praxi
První konfigurovatelnou položkou jsou tedy skupiny, které v případe NASu od Synology nalezneme v ovládacím panelu. Ve výchozím nastavení máme vytvořeny dvě základní skupiny – administrators a users. Je samozřejmě možné vytvořit libovolný počet dalších skupin a přiřadit do nich jednotlivé uživatele. Jen je potřeba mít na paměti, že přiřazením do skupiny administrators získá daný uživatel i další dodatečná práva v rámci systému.
Dalším prvkem jsou jednotliví uživatelé. Z pohledu zabezpečení (a efektivní konfigurace oprávnění) je vhodné, aby každý uživatel měl svůj vlastní uživatelský účet s dostatečně silným heslem. Takto nějak tedy může vypadat seznam uživatelů.
Jakmile máme vytvořené uživatele a skupiny, zbývá již zmínit poslední bod, kterým je nastavení sdílené složky. Oprávnění pro sdílenou složku se obvykle nastavují samostatně a v praxi tím určujeme, kdo má oprávnění se ke sdílené složce připojit (bez ohledu na samotná oprávnění sdílených dat). Můžeme tedy sdílet složku pouze pro čtení, díky čemuž nebude mít uživatel možnost sdílená data ze vzdáleného zařízení editovat, a to i přesto, že má k souborům a složkám oprávnění pro zápis. Stejným způsobem je možné volitelně zakázat procházení obsahu adresářů, modifikaci souborů, případně jejich stažení (v našem případě tyto volby nalezneme v Advanced privileges).
Pro úplnost je dobré zmínit také fakt, že oprávnění lze konfigurovat jak pro jednotlivé uživatele, tak pro skupiny - to je ve většině případů lepší, jelikož je pak celková konfigurace oprávnění přehlednější.
Po úspěšném nastavení oprávnění sdílené složky (v našem případě adresáře shared) již sdílení funguje a uživatelé můžou procházet uložená data. To je ve většině případů žádoucí, ale může se stát, že chceme např. některé složky nakonfigurovat jinak (typicky odebrat přístup).
Zpravidla bude potřeba u jednotlivé složky přejít pomocí pravého tlačítka myši do vlastností (properties), kde v první záložce nalezneme vlastníka a skupinu. To již známe z předchozí části článku, takže můžeme nastavit požadované údaje a volitelně také zaškrtnout možnost replikace nastavení pro všechny vnořené složky a soubory.
Jakmile máme nastaveno, přejdeme na záložku Permission, ve které nalezneme v předchozím textu popisovaná oprávnění pro vlastníka, skupinu a ostatní. Dle toho, jakým způsobem tato oprávnění nastavíme, budou pak obsažená data přístupná pro jednotlivé uživatele.
Všeobecná doporučení
Na nastavování oprávnění se vztahuje několik všeobecně platných doporučení, které bychom doporučili vzít během konfigurace v úvahu. Pokusíme se vyjmenovat ty nejdůležitější spolu se základním vysvětlením a popisem.
- Používejte skupiny - ačkoli se to na začátku může zdát zbytečně složité, v budoucnu se pak stane správa oprávnění pomocí skupin daleko jednodušší. Pokud například vytvoříte skupiny podle účelu daného přístupu, bude stačit nového uživatele pouze přiřadit do odpovídajících skupin, čímž získá požadovaný přístup. V neposlední řadě si tak zjednodušíte práci ve chvíli, kdy budete potřebovat zjistit, kdo má k dané složce vlastně oprávnění.
- Nenastavujte oprávnění u souborů - toto všeobecné doporučení plyne z praxe, jelikož je vyzkoušeno, že mít různá oprávnění v rámci jedné složky je poměrně komplikované jak na administraci, tak následné používání. Lepším řešením je vytvořit novou složku.
- Nastavujte pouze taková oprávnění, která jsou nezbytně nutná - pokud všichni můžou všechno, znamená to také, že všichni můžou všechno pokazit. Obecně platí, že čím méně má uživatel možnost měnit, tím lépe.
- Vyhněte se zakazování přístupu - v některých případech lze explicitně zakázat přístup. Může se zdát jednodušší vše povolit a něco zakázat, ale opak je pravdou - zakázaný přístup má vyšší prioritu, takže se pak může stát, že někomu nebude něco fungovat a nikdo nebude vědět proč.
Je vyzkoušeno, že se do budoucna vyplatí dát si práci s náležitou konfigurací oprávnění hned na začátku. Pak již bude vše fungovat a my tak nebudeme muset do konfigurace oprávnění ve většině případů nijak zasahovat.
