Negozio Synology prezzi bassi

synoacltool -enforce-inherit

Usare la File Station del NAS

synoacltool -enforce-inherit

Messaggioda fabfisc » sabato 12 agosto 2017, 23:14

Buonasera a tutti,

qualche giorno fà mi sono imbattuto in un problema.

Dopo aver creato un gruppo di utenti

Codice: Seleziona tutto
sudo synogroup --add groupname username1 username2


ed averlo autorizzato ad accedere ad una specifica cartella

Codice: Seleziona tutto
synoacltool -add /percorso/della/cartella group:gruppo_di_utenti:allow:rwxpdDaARW---:fd--


per propagare le autorizzazioni alla cartella, sotto-cartella e file posso procedere SOLO tramite GUI -> File Station -> tasto destro su cartella -> Modifica -> Autorizzazioni -> check-box "Applicare a questa cartella, sotto-cartella e file".

Secondo questo topic https://forum.synology.com/enu/viewtopic.php?t=87000, la soluzione è quella di dare il comando:

Codice: Seleziona tutto
find /volume_name/Share_Point/ -type d -exec synoacltool -enforce-inherit "{}" \;


Il problema è che estende le autorizzazioni del solo utente owner a tutte le cartelle, sott-cartelle e file.

Come posso fare ad estendere le autorizzazioni dei soli gruppi/utenti desiderati tramite shell, cosa peraltro già fattibile tramite GUI, lasciando come owner l'utente "root"?


Inoltre, ho provato come workaround il seguente (ispirandomi al suggerimento trovato qui https://tech.setepontos.com/2016/07/05/configure-symfony-3-on-synology-dsm-6-x/)

1) aggiungo il gruppo "gruppo_di_utenti" nel Tab "Autorizzazioni" della cartella interessata
Codice: Seleziona tutto
synoacltool -add /percorso/della/cartella group:gruppo_di_utenti:allow:rwxpdDaARW---:fd--

2) cambio l'utente owner "root" in "ciccio"
Codice: Seleziona tutto
sudo synoacltool -set-owner /percorso/della/cartella user ciccio

3) propago i diritti con il comando
Codice: Seleziona tutto
sudo find /percorso/della/cartella -type d -exec synoacltool -enforce-inherit "{}" \;

4) RIcambio l'utente owner "ciccio" in "root"
Codice: Seleziona tutto
sudo synoacltool -set-owner /percorso/della/cartella user root


Ma il risultato é che, sebbene l'owner sia correttamente "root", adesso nel tab "Autorizzazioni" vedo solo il gruppo "Authenticated users" (tra l'altro SOLO IN GRIGIO) e non più "gruppo_di_utenti" (aggiunto al punto 1).

Perché? :shock: :shock:

Grazie a tutti per il contributo.
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda fabfisc » mercoledì 16 agosto 2017, 22:59

Qualcuno armato di pazienza, buona volontà, altruismo e conoscenza?
;)
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda fabfisc » sabato 19 agosto 2017, 9:10

:shock:

Riquoto il mio messaggio iniziale, nella speranza qualcuno ci abbia già "sbattuto" e sia così generoso da condividere la soluzione!

Secondo questo topic https://forum.synology.com/enu/viewtopic.php?t=87000, la soluzione è quella di dare il comando:

Codice: Seleziona tutto
find /volume_name/Share_Point/ -type d -exec synoacltool -enforce-inherit "{}" \;



Il problema è che estende le autorizzazioni del solo utente owner a tutte le cartelle, sott-cartelle e file.

Come posso fare ad estendere le autorizzazioni dei soli gruppi/utenti desiderati tramite shell, cosa peraltro già fattibile tramite GUI, lasciando come owner l'utente "root"?
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda burghy86 » sabato 19 agosto 2017, 10:23

Aspetta la risposta con calma. Io sono in ferie senza pc quindi non posso aiutarti.

Puoi sempre chiedere direttamente assistenza a synology

Inviato dal mio SM-G800F utilizzando Tapatalk
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio

------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Avatar utente
burghy86
Moderatore
Moderatore
 
Messaggi: 8293
Iscritto il: martedì 11 settembre 2012, 18:59

Re: synoacltool -enforce-inherit

Messaggioda fabfisc » sabato 19 agosto 2017, 12:02

Attenderò con pazienza.
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda burghy86 » sabato 19 agosto 2017, 14:54

il ticket a synology fallo comunque. ti rispondo gli esperti della assistenza in modo gratuito

Inviato dal mio SM-G930F utilizzando Tapatalk
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio

------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Avatar utente
burghy86
Moderatore
Moderatore
 
Messaggi: 8293
Iscritto il: martedì 11 settembre 2012, 18:59

Re: synoacltool -enforce-inherit

Messaggioda fabfisc » sabato 19 agosto 2017, 16:48

Ticket aperto.

Se qualcuno non dovesse anticipare il Support Center di Synology, e qualora loro dovessero riuscirmi a risolvere il problema, certamente condividerò la soluzione.
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda dMajo » martedì 22 agosto 2017, 14:48

Il tuo riferimento a "authenticated users" mi fa supporre che tu abbia interrogato le autorizzazioni da windows.

Le ACL di win e i permessi di linux sono due cose diverse, fra l'altro +/- legate al filesystem. Anche in win con FS FAT non puoi impostare i permessi e qualsiasi utente può vedere tutto. Diversamente con NTFS che implementa i permessi (ACL) questi vengono scritti come metadati aggiuntivi alle cartelle/file in aree apposite del disco a ciò riservate.

Non sono esperto di linux ma credo che le ACL di windows siano fruibili solo tramite la condivisione SMB/CIFS di rete e non sul nas stesso (in ambiente linux) e probabilmente con metadati salvati da qualche parte da samba. Credo che perciò synology si sia costruita il tool per modificarli all'occorrenza in modo facilitato anche se poi non lo documenta un granché segno che probabilmente il tool sia per lo più destinato ad uso interno.
Altrimenti anche syno avrebbe usato "chown/chmod" che servono per modificare i permessi in linux, permessi che probabilmente vengono gestiti nativamente dal FS ext4 e salvati su disco da qualche parte.

Comunque anche in win quando propaghi (e/o erediti) i permessi ci vuole tempo diverso in base alla quantità di sottocartelle/file per i quali i metadati devono essere aggiornati. Segno questo che il SO richiama in modo iterato la stessa funzione di modifica (presente nel kernel) per ogni singolo elemento.

Lo stesso puoi fare tu, anche da shell:
- ti crei uno script che abbia i giusti argomenti (oggetto, utenti/gruppi+permessi, flag eredita/propaga)
- se erediti, nello script prima prelevi i permessi dell'oggetto padre
- poi, se propaghi, scansioni tutti i file/sottocartelle e per ognuno di esse richiami "synoacltool" passandogli gli argomenti corretti. (Che poi è quello che fa win e/o filestation quando gli metti la spunta per la propagazione.)

In tutto ciò fai attenzione che utenti e gruppi potrebbero anche derivare da LDAP/MS-AD oltre a quelli interni del NAS.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1593
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: synoacltool -enforce-inherit

Messaggioda fabfisc » martedì 22 agosto 2017, 18:56

Ecco la risposta ricevuta da Synology:

Bonjour monsieur.
Nous vous remercions d'avoir contacté le support et pour l'intérêt que vous portez à nos produits.
Malheureusement nous ne faisons pas du support pour le commande SSH.
C'est notre procedure malheureusement.
merci pour votre compréhension.
Cordialement,
Salah
Technical Support


In sostanza, nessun supporto per SSH!
:?

Grazie per l'intervento dMajo,

purtroppo, però, quando scrivevo:
Ma il risultato é che, sebbene l'owner sia correttamente "root", adesso nel tab "Autorizzazioni" vedo solo il gruppo "Authenticated users" (tra l'altro SOLO IN GRIGIO) e non più "gruppo_di_utenti" (aggiunto al punto 1).

mi riferivo alla GUI del NAS.

Per la precisione, collegandomi all'IP del NAS (192.168.0.1:5000), nella File Station, tasto destro sulla cartella interessata, Proprietà, tab "Autorizzazioni".
E' qui che visualizzo "Authenticated users" e posso assegnare/accodare/disassociare/ gruppi/utenti per la definizione delle regole delle ACL.

Mi sono incartato nello step (via shell) di estensione delle autorizzazioni r/w a favore di alcuni gruppi per l'accesso a determinate cartelle e sottocartelle.
Ho 100 (un esempio) cartelle e devo essere nelle condizioni di autorizzare i gruppi (ne ho creati uno r/o e un altro r/w per ciascuna cartella, quindi 200 in tutto) per accedere alle rispettive cartelle ed estendere le stesse autorizzazioni a tutto il resto (check-box "Applica a questa cartella, sotto-cartella e file" sempre nel tab "Autorizzazioni").

Spero di essere stato esaustivo e chiaro nel disegnare il problema e definire il mio scopo.
GTW: Vodafone Revolution
TP-Link TD-W8970 (0.6.0 2.12 v000c.0 Build 140613 Rel.31066n) ISP: ADSL Vodafone IP: Public
CLI: Win7-64 Win10
ALTRO: DS213J + 2 x 1 Tb -- DS216+II + 2 x 4 Tb
fabfisc
Utente
Utente
 
Messaggi: 36
Iscritto il: domenica 2 febbraio 2014, 8:57

Re: synoacltool -enforce-inherit

Messaggioda fullspeed » mercoledì 23 agosto 2017, 1:43

senza parole per la risposta del supporto synology, visto che ssh non c'entra proprio nulla.

(Inviato con Tapatalk)
  • UPS: APC Back-UPS 700VA (BX700UI)
  • GTW: Modem Telecom Fibra (Release Modem: AGVTF_5.3.3) + Router Tp-Link Archer c7 ISP: TIM (100M/20M) IP: Public
  • SWC: TP-LINK TL-SG108
  • NAS: DS215j DSM 5.2-5967 Update 1; 512MB; R1(2x HGST DeskStar NAS 3TB); LAN:1
  • CLI: Ubuntu Linux 14.04.5 LTS; Apple Mac Mini (late 2014, macOS Sierra); Microsoft Windows 7, Microsoft Windows 8.1, Microsoft Windows 10
    Altro: WETEK.openelec Box w/DVB-S2 tuner (OpenELEC 6.0.3, Kodi 15.2 Isengard), Yamaha RX-V481, Denon DRA-N4, 3x Android Phones, 1x iPhone, 1x iPad Air, 2x Amazon Kindle Fire HD
  • EXP: E5 - NET9 PC:W5,M5,L9
Avatar utente
fullspeed
Utente
Utente
 
Messaggi: 480
Iscritto il: lunedì 21 settembre 2015, 16:18
Località: Ad Sextum Lapidem

Prossimo

Torna a File Station

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti