이상한 권한 문제 krb/windows 도메인/synology: 기존 하위 폴더에서 모든 액세스가 거부되었습니다.

이상한 권한 문제 krb/windows 도메인/synology: 기존 하위 폴더에서 모든 액세스가 거부되었습니다.

이 최소 예에서는 네트워크에 세 개의 시스템이 있습니다. Windows 서버는 도메인(모든 관련 항목 포함), Synology NAS(일부 데이터 및 백업 저장용) 및 동일한 NAS에 액세스해야 하는 Linux 호스트 역할을 합니다.

NAS에서 별도의 권한 세트를 조작하거나 유지하고 싶지 않기 때문에 Linux 호스트는 이를 위해 Windows 호스트와 동일한 액세스 메커니즘을 사용해야 합니다. 공유를 CIFS로 마운트하고 Kerberos 티켓을 요청합니다. 윈도우 서버. 이 기능과 점유율은 계속 증가하고 있습니다.

그런데 저는 다음과 같이밖에 설명할 수 없는 일을 만났습니다.뭐하세요?.

도메인에 wuB와 wuV라는 두 명의 사용자가 있다고 가정합니다. 사용자 wuV가 Synology 공유에 폴더를 생성했습니다. 이제 Linux 호스트에서 사용자 wuB(Windows 도메인)로 이 파일에 액세스하려고 합니다.

내 Linux 컴퓨터에서 다음 명령을 실행합니다.

$ kinit [email protected]
$ mount --verbose -t cifs -o sec=krb5i,vers=2.0,username=root,uid=0000,gid=0000,iocharset=utf8,dir_mode=0777,file_mode=0777,noperm //mysynology.company.com/backup /var/backups/synology1
mount.cifs kernel mount options (...)
$ cd /var/backups/synology1/
$ ls 

existing_dir_owned_by_wuV

$ mkdir testdir
$ cd testdir
$ touch testfile
$ echo "yessir" > testfile
$ cat testfile

yessir

$ ls -lha

drwxrwxrwx 2 root root 0 Sep 20 12:28 .
drwxrwxrwx 2 root root 0 Sep 20 12:28 ..
-rwxrwxrwx 1 root root 6 Sep 20 12:28 testfile

$ cd ..
$ cd existing_dir_owned_by_wuV
$ ls -la

'.' : permission denied

$ cat existing_file_in_subfolder

permission denied

$ cd ..
$ cat existing_file_in_mainfolder

hello world

Synology에서 소유권을 확인합니다. 테스트 폴더는 company.com/wuB 소유로 표시되고 기존 폴더는 company.com/wuV 소유로 표시됩니다. 이는 예, Windows 사용자 wuB로 공유에 액세스하고 있음을 의미합니다.

Synology에서는 Windows/NTFS 스타일 권한이 공유 자체에만 설정됩니다.상속하다권한만 있습니다. wuV와 wuB 모두 다음과 같이 표시됩니다.읽고 쓰기공유의 모든 파일에 액세스합니다. 설치하는 동안 Linux 권한은 777로 설정됩니다. 나는 모든 일을 하고 있다뿌리Linux 시스템에서는 권한 문제가 거기에서도 발생하지 않습니다.

어떻게 이럴 수있어?

이 문제를 어떻게 해결할 수 있나요?

답변1

비슷한 문제가 있는 사람을 위해 답변을 찾았습니다.

Synology의 NTFS 권한 표시는 기본적으로 다음과 같습니다.잘못된. SMB/CIFS가 콘텐츠를 저장하는 방식과 정확히 일치하지 않는 방식으로 이를 캐시하고 자체 현실 버전을 표시합니다. 동일한 사용자로 Windows 시스템에서 폴더를 설치하여 이를 발견했습니다. 일부 기존 디렉터리에 액세스할 수 없습니다.

추적하는 것으로 밝혀졌습니다유산오프로드 차량입니다. NTFS 권한은 더 복잡합니다. 각 폴더에는 자체 권한이 있습니다.상속하다배너. 이들 중 하나라도 꺼지면 공유에 대한 권한이 적용되지 않습니다. 결함이 있는 프로그램이 관리자의 상속된 설정을 존중하지 않고 자신이 쓰고 있는 일부 폴더/파일을 생성하고 있는 것으로 나타났습니다. (관리자는 어쨌든 이러한 권한을 변경할 수 없습니다.) 이것이 가능한 이유는 Windows 위원회의 설계 결함 중 하나입니다.

해결 방법은 문제가 있는 각 폴더에서 상속을 설정하는 것입니다(모든 파일과 하위 폴더에 대해 이 작업을 수행함). 이는 cacl을 사용하여 자동화하거나 동일한 탐색기 창에서 수행할 수 있습니다.

이 답변을 보면서 ntfssecauditWindows 시스템 없이 Linux 호스트에서 동일한 작업을 수행하는 방법도 찾았습니다. 또한 연결된 사용자에게 콘텐츠를 볼 수 있는 권한이 있는 경우 상속이 중단된 것으로 보고됩니다. 이는 Kerberos 티켓으로 다시 설치하여 쉽게 해결할 수 있습니다 administrator.

관련 정보