Права доступа к папкам.

[awdrg]

Здравствуйте.

На Ultra 2 FW 2.10.C.0.0-0 пытаюсь настраивать права доступа к папкам, и выходит не очень.

Если права для юзера назначить к корню диска - то все субдиректории на диске их унаследуют, (по умолчанию, если  для субдиректорий не указано иного). Далее указываю в настройках FTP для User его корневой каталог и он получит к нему доступ без проблем. Так всё вроде бы хорошо.

Если я запрещу юзеру доступ к корню диска, или оставлю как "наследовать", создам папку на диске, дам ему RW к этой папке, то всё что внутри не хочет наследовать права. При этом папка указана как корневая для этого юзера. По фтп доступ пропадает.

Диск c NTFS.

Подскажите, пожалуйста, что я делаю не так?

[Le ecureuil]

11 час назад, r13 сказал:

А привязки статических ip к пользователям на vpn серверах этот fix коснется?

В 2.11 это уже давно исправлено, минимум месяц. Если по-прежнему воспроизводится, то заводите новую тему с указанием шагов для воспроизведения.

[sergeyk]

5 минут назад, awdrg сказал:

Здравствуйте.

На Ultra 2 FW 2.10.C.0.0-0 пытаюсь настраивать права доступа к папкам, и выходит не очень.

Если права для юзера назначить к корню диска - то все субдиректории на диске их унаследуют, (по умолчанию, если  для субдиректорий не указано иного). Далее указываю в настройках FTP для User его корневой каталог и он получит к нему доступ без проблем. Так всё вроде бы хорошо.

Если я запрещу юзеру доступ к корню диска, или оставлю как "наследовать", создам папку на диске, дам ему RW к этой папке, то всё что внутри не хочет наследовать права. При этом папка указана как корневая для этого юзера. По фтп доступ пропадает.

Диск c NTFS.

Подскажите, пожалуйста, что я делаю не так?

Если в корневом каталоге диска стоит запрет доступа для пользователя, то он не получит доступа к подкаталогам в любом случае, даже если один из подкаталогов назначен ему как корневой. Это относится к доступу через любой протокол (FTP, CIFS, AFP).

[awdrg]

4 минуты назад, sergeyk сказал:

Если в корневом каталоге диска стоит запрет доступа для пользователя, то он не получит доступа к подкаталогам в любом случае, даже если один из подкаталогов назначен ему как корневой. Это относится к доступу через любой протокол (FTP, CIFS, AFP).

В свойствах каталога назначены права RW для юзера. Зачем юзеру права к каталогам уровнем выше, если данный каталог для него корневой? И почему права не наследуются для всего что ниже? Чёт не уловлю логику. На других железках всё без проблем настраивал таким способом.

[sergeyk]

3 минуты назад, awdrg сказал:

В свойствах каталога назначены права RW для юзера. Зачем юзеру права к каталогам уровнем выше, если данный каталог для него корневой? И почему права не наследуются для всего что ниже? Чёт не уловлю логику. На других железках всё без проблем настраивал таким способом.

Нужна, потому что в этой упрощенной системе управления правами доступа проверка происходит всегда от корня монтирования всех дисков (/tmp/mnt/), а не от домашнего каталога FTP.

[awdrg]

Так всё дело в упрощённой системе? Т.е., это не баг, а фича?

[sergeyk]

1 минуту назад, awdrg сказал:

Так всё дело в упрощённой системе? Т.е., это не баг, а фича?

Да, проверка доступа всегда так работала.

Напишите, где вы настраивали по-другому.

Насколько я знаю, если в системе у вас есть иерархия каталогов /a/b/c и вы запретили доступ пользователю на уровне ОС к каталогу /a, то к каталогам /a/b и a/b/c этот пользователь доступа не получит, какие бы приложения он не запускал и какие бы корневые каталоги он в них не назначал.

[awdrg]

Ок, может вы и правы.

Заметил ещё одну особенность. Ели настройках юзера сменить пароль или настройки доступа к функциям роутера - слетает его корневая папка в настройках FTP. Имя юзера при этом не менялось, как и доступ к фтп. Это происходит даже если просто открыть свойства юзера, и нажать "Сохранить", при этом ничего не изменив. Это нормально?

[sergeyk]

4 минуты назад, awdrg сказал:

Ок, может вы и правы.

Заметил ещё одну особенность. Ели настройках юзера сменить пароль или настройки доступа к функциям роутера - слетает его корневая папка в настройках FTP. Имя юзера при этом не менялось, как и доступ к фтп. Это происходит даже если просто открыть свойства юзера, и нажать "Сохранить", при этом ничего не изменив. Это нормально?

Это, скорее всего, ошибка: при смене настроек пользователя через Web удаляются все теги, а затем добавляются заново. При удалении тега ftp автоматически удаляется и его настройка корневого каталога, поскольку доступ к ftp становится запрещен.

[awdrg]

Так вот и связанная с этим проблема. Сменил юзеру пароль, забыл ему повторно указать хоум директорию - юзер получил доступ ко всему диску. Считаю, неправильным, что задать права юзеру можно единственным способом, указав его хоум директорию, да еще и с риском случайно открыть ему весь диск.

[sergeyk]

3 часа назад, awdrg сказал:

Так вот и связанная с этим проблема. Сменил юзеру пароль, забыл ему повторно указать хоум директорию - юзер получил доступ ко всему диску. Считаю, неправильным, что задать права юзеру можно единственным способом, указав его хоум директорию, да еще и с риском случайно открыть ему весь диск.

В следующих версиях настройки каталога сбрасываться не будут.

[r13]

14 минуты назад, sergeyk сказал:

В следующих версиях настройки каталога сбрасываться не будут.

А привязки статических ip к пользователям на vpn серверах этот fix коснется?

[r13]

3 минуты назад, Le ecureuil сказал:

В 2.11 это уже давно исправлено, минимум месяц. Если по-прежнему воспроизводится, то заводите новую тему с указанием шагов для воспроизведения.

Проверим на ближайшем длафте

[r13]

В 01.12.2017 в 11:46, Le ecureuil сказал:

В 2.11 это уже давно исправлено, минимум месяц. Если по-прежнему воспроизводится, то заводите новую тему с указанием шагов для воспроизведения.

Проверил на примере PPTP, да, пофиксено

[Sasa]

Добрый день! На Giga2 после вчерашнего обновления прошивки с 2.09 на 2.10.C.0.0-4, пользователи внутри локальной сети не могут авторизоваться к подключенной флешке(используем как FTP), если они работают под Windows XP или Server 2003.  Если пользователь под Windows 10 или Server 2008 авторизация проходит без проблем и пользователи имеют доступ к файлам на флешке. Как понял причина в отключении на GIGA2 SMB 1.0? Подскажите плиз что делать, откатываться на старую прошивку или есть какое то другое решение?

Edited December 7, 2017 by Sasa
Дополнил и упростил для понимания

[sergeyk]

2 часа назад, Sasa сказал:

Добрый день! На Giga2 после вчерашнего обновления прошивки с 2.09 на 2.10.C.0.0-4, пользователи внутри локальной сети не могут авторизоваться к подключенной флешке(используем как FTP), если они работают под Windows XP или Server 2003.  Если пользователь под Windows 10 или Server 2008 авторизация проходит без проблем и пользователи имеют доступ к файлам на флешке. Как понял причина в отключении на GIGA2 SMB 1.0? Подскажите плиз что делать, откатываться на старую прошивку или есть какое то другое решение?

FTP и SMB никак не связаны между собой, это разные протоколы.

Возможно ваша проблема с доступом происходит из-за смены кодировки по умолчанию для FTP с CP-1251 на UTF-8:

Каким клиентом FTP пользуетесь и что у него за кодировка по умолчанию? 

[Sasa]

6 минут назад, sergeyk сказал:

FTP и SMB никак не связаны между собой, это разные протоколы.

Возможно ваша проблема с доступом происходит из-за смены кодировки по умолчанию для FTP с CP-1251 на UTF-8:

Каким клиентом FTP пользуетесь и что у него за кодировка по умолчанию? 

Простите, вообще зря написал в своем сообщении слово FTP, это Вас запутало. Пользователи с локальной сети обменивались файлами между собой заходя на Giga2, вернее на флешку, подключенную к ней. В настройках Giga2-Приложения-Сеть Windows-Общий доступ к файлам и принтерам в сети Windows всегда ставили галочку "Разрешить доступ без авторизации" и никакой авторизации не требовалось. После вчерашнего обновления прошивки с 2.09 на 2.10.C.0.0-4 пользователи под Windows 10 или Server 2008 без проблем имеют доступ к файлам на флешке, у пользователей под Windows XP или Server 2003 выходит окно куда нужно ввести логин и пароль, причем ввод любых пользователей (которые заведены на Giga2) результата не дает - доступа к файлам нет.

[Sasa]

4 часа назад, Sasa сказал:

Простите, вообще зря написал в своем сообщении слово FTP, это Вас запутало. Пользователи с локальной сети обменивались файлами между собой заходя на Giga2, вернее на флешку, подключенную к ней. В настройках Giga2-Приложения-Сеть Windows-Общий доступ к файлам и принтерам в сети Windows всегда ставили галочку "Разрешить доступ без авторизации" и никакой авторизации не требовалось. После вчерашнего обновления прошивки с 2.09 на 2.10.C.0.0-4 пользователи под Windows 10 или Server 2008 без проблем имеют доступ к файлам на флешке, у пользователей под Windows XP или Server 2003 выходит окно куда нужно ввести логин и пароль, причем ввод любых пользователей (которые заведены на Giga2) результата не дает - доступа к файлам нет.

Прошу прощения, вопрос снимаю. Может кому-то понадобится еще у кого еще осталась XP и Server 2003. Ввод логина и пароля в непосредственно окно авторизации не помог, а вот почему-то ввод в Панель Управления-Учетные записи пользователей-Сохранение имен пользователей и паролей решил ситуацию. И такая ситуация была на всех машинах XP и Server 2003.

[Kononov Dmitriy]

Добрый день. Поднял локльный FTP сервер на Omni II и вроде все ок работает.

Но почему-то не получается создать папку, точнее программа не может это сделать, которая должна по ftp грузить все данные.

В логах получаю вот такое (ftp@192.168.100.100) [ERROR] Can't create directory: permission denied.

Я так понимаю что нет разрешений у пользователя, а как их выдать я не понял

[sergeyk]

3 минуты назад, Kononov Dmitriy сказал:

Добрый день. Поднял локльный FTP сервер на Omni II и вроде все ок работает.

Но почему-то не получается создать папку, точнее программа не может это сделать, которая должна по ftp грузить все данные.

В логах получаю вот такое (ftp@192.168.100.100) [ERROR] Can't create directory: permission denied.

Я так понимаю что нет разрешений у пользователя, а как их выдать я не понял

https://help.keenetic.net/hc/ru/articles/213967029-Настройка-прав-доступа-к-сетевому-диску-подключенному-к-интернет-центру

В примере рассмотрен доступ по CIFS ("Сеть MS Windows"), но для FTP делается аналогично.

[Kononov Dmitriy]

1 минуту назад, sergeyk сказал:

https://help.keenetic.net/hc/ru/articles/213967029-Настройка-прав-доступа-к-сетевому-диску-подключенному-к-интернет-центру

В примере рассмотрен доступ по CIFS ("Сеть MS Windows"), но для FTP делается аналогично.

Это так и сделано уже. Но все равно ошибка доступа

[sergeyk]

2 минуты назад, Kononov Dmitriy сказал:

Это так и сделано уже. Но все равно ошибка доступа

Другие ошибки в журнале есть?

[Kononov Dmitriy]

28 минут назад, sergeyk сказал:

Другие ошибки в журнале есть?

Сорри, разобрался уже, после смены пароля пользователю слетели настройки разрешений и домашнего каталога, вот и не подключалось.

Теперь все работает как часы.