Как разграничить доступ в FreeNas 9.3 и надежно сохранить данные?

Question

[Николай]

Здравствуйте. Установил FreeNas 9.3 на USB Flash. Подключил 2 жестких в ZFS mirror, создал ZFS Dataset для каждой сетевой папки для доступа пользователей Windows и сами общие папки. Теперь никак не могу разобраться с правами доступа к сетевым папкам, подскажите пожалуйста как сделать следующее:
1) group1(администраторы) с user1-1,user1-2 и т.д с полными правами доступа к share1, share2, share3, share4, share5;
2) group2(те кому можно) с user2-1,user2-2 и т.д с полными правами доступа к share2, share3;
3) group3(пользователи сети) с user3-1,user3-2 и т.д с полными правами доступа к share3.
Назначение папок:
share1 - папка с бэкапами и разной информацией и ПО для администрирования;
share2 - папка с конфиденциальными данными с ограниченным доступом;
share3 - папка с доступом не для всех;
share4 - папка с данными только для чтения, доступна и не авторизованным пользователям, изменять может только group1;
share5 - папка с открытым доступом, все в том числе не авторизованные пользователи имеют право создавать и изменять содержимое.

Так же хотелось бы узнать:
1. Надежно ли будут храниться данные в ZFS mirror (программное зеркалирование, если я правильно понял) на компе с памятью без ECC (как пишут в сети Интернет ZFS чувствителен к ошибкам, а от UFS в FreeNas 9.3 вроде как отказались);
2. Как правильно сделать дубликат флешки с FreeNas 9.3, что бы в случае, если основная накроется можно было не терять время на переустановку, а просто воткнуть запасную и продолжить работать (ресурс USB Flash не бесконечен, не хотелось бы надеяться на авось);
3. Если кто пользуется FreeNas, быть может подскажет какие проблемы могут возникнуть в будущем и возможно ли их предотвратить.

P.S. С FreeBSD я не знаком(и хотелось бы надеяться изучать не придется). Информацию о выше написанном для FreeNas версии 9.3 не нашел, работа с сборной салянкой статей из Интернета ожидаемого результата не принесла. Поэтому ответьте пожалуйста наиболее исчерпывающе по возможности.

Answer 1

[Виталий]

Если есть домен, делайте на фринас CIFS шару и прорисывайте права в "Auxiliary Parameters". Пример: valid users = "@domain.local\Group1"
admin users = "@domain.local\Domain Admins".
1. Стоят два сервака на фринас около года и (тфу-тфу) данные целы.
2. Прогой для клонирования или проинсталлить фринас на вторую флеху и восстановить слитый с фринас конфиг.
3. Была ситуация когда умерла флешка в то время когда происходил скраббинг. После этого датасет не импортировался до тех пор пока не был подключен к "нормальному" фрибсд и не был закончен скраб.
Обезопасить данные можно с помощью снапшотов и репликации их на другой сервер.

Comments

[Николай]

Домена нет. Вообще не понимаю - шары с идентичными настройками и правами доступа к датасетам работают по разному, одни открываются и позволяют изменять содержимое другие читаются но изменение не доступно, шары общего доступа с гостевым входом не позволяют изменять содержимое ни гостям ни администраторам.

[Виталий]

Какие шары делали CIFS? Точно все галочки в настройках идентичны? Что прописываете в Auxiliary Parameters?

[Николай]

Виталий: да CIFS. Галочки в настройках идентичны, а в Auxiliary Parameters ничего не прописывал, ориентируюсь не особо хорошо, поэтому стараюсь лишний раз не чудить. Больше всего удивляюсь шаре с гостевым доступом, ее параметры я особо не менял после первоначальной настройки (тогда она работала как надо), а сейчас если не войти под рутом то изменение не доступно.

[Виталий]

Попробуйте настроить по этому https://doc.freenas.org/9.3/freenas_sharing.html#w... мануалу. Пункт 10.4.2. Если не прокатит идите на форум фринас.

[Николай]

Виталий: Изменил режим датасетов на Unix и по большей части все заработало как надо, но вот у некоторых датасетов права в режиме Unix после изменения не сохраняются, хотя пишет, что разрешения успешно сохранены. У Вас FreeNas установлены на USB Flash или что другое?

[Виталий]

Да, на флешки, но на одном из серверов думаю поставить на ХДД. Уже около пяти флешек сдохло.

[Николай]

Виталий: а программный райд 1 или еще какой не настроен? Флешки заранее подготавливаете и каким образом? Вот думаю не возникнет проблем при восстановлении райд 1 после смерти флешки?

[Виталий]

Райды есть на обоих серверах. Главное сохраните конфиг в надёжном месте. Если флешка умрёт, то при восстановлении конфига всё вернётся как и было. Если конфига не будет и будете заново настраивать, выполните "zpool import dataset_name" и все волаймы снова будут на месте. Флешки обычно не готовлю, когда умирает флеха, качаю нову версию наса. Так не приходиться отдельно тратить время на обновления Ж)

[Николай]

Виталий: а причину того, что у некоторых датасетов права в режиме Unix после изменения не сохраняются хотя пишет, что разрешения успешно сохранены не подскажете?

[Виталий]

nevill44: Причину не скажу, но сам не раз сталкивался с этим глюком (только не в шарах, а в других опциях). Лечится обычно ребутом. Это всё же опен-сорс проект, так что на мелкие глюки можно закрыть глаза.

[Николай]

Виталий: Спасибо, очень помогли.

Answer 2

[Diman89]

2gusia.livejournal.com
1 - хз, скорее всего надежно
2 - дубликат не нужен - конфиг там сохраняется в файл и из него восстаналивается

Comments

[Николай]

Ресурс по большей части посвящен NAS4Free, а в тех статьях, что посвящены FreeNas ответ не нашел.