未解決
38 メッセージ
0
2239
Run as rootについて
isilonにおけるOneFsでのユーザ権限について2点程質問がございます。
OneFs8.1.0.4において、SMB共有フォルダを作成し、その際のあるユーザAに対し、以下の設定において「Full controll」の権限を付与しております。
<SMB共有フォルダのアクセス権限について>
Protocols>SMB Sharesタブ>
Create an SMB Share >MembersよりユーザAをView/Edit>Specify permission levelにチェックを入れてFull controllを選択
<質問①>
上記設定を行った後、WindowsサーバへユーザAでログインした後、作成したSMB共有フォルダへアクセスし、フォルダのプロパティ>セキュリティタブより、「Everyone」の権限を「フルコントロール」へ変更しようとしたところエラーが出力しました。 SMBアクセス権限を「Run as root」へ変更したところ、NTFSにおける、「Everyone」の権限を「フルコントロール」へ変更できたのですが、SMBアクセス権限における「Run as root」に設定しないと、SMBフォルダのNTFS権限を変更する事はできないのでしょうか。
OneFs8.1.0における「Run as root」と「Full controll」の権限の違いが記載されている資料がございましたらURL等ご教授頂けないでしょうか。
<質問②>
上記で使用しているユーザAについて、ユーザAのSMBアクセス権限をCLIにおいて以下コマンドで消去する場合、 「Full controll」であれば削除でき、「Run as root」の場合は削除できませんでした。 「Run as root」のSMBアクセス権限はコマンドでは削除できない、もしくは追加でオプションが必要なのでしょうか。
<SMBアクセス権限コマンド> isi smb shares permission delete <SMB共有名> --group <ユーザA@ドメイン名> --zone <ユーザA所属ドメインに対応したゾーン名> -v
ayas
Moderator
Moderator
•
6.5K メッセージ
0
2019年8月29日 23:00
HirokiKawashimaさん
質問①>
IsilonでのRun as rootはSMB Share 設定時やMigraion時の利便性を考慮して特別な権限を持たせている設定になります。
そのためにHirokiKawashimaさんがおっしゃるようにNTFS権限が変更できたりします。
こちらのKBにその詳細の記載があります。「Run as root」と「Full controll」の権限の違いという記載ではないですが
KB:
516711 : Isilon: How To understand the Isilon concept of "Run as Root" and when to use it (User Correctable)
質問②>
KBでは8.0までの情報ですがRun as Root のユーザーが一つだけだと権限を消せない、という事象があります。HirokiKawashimaさんの場合、Run As Root ユーザが一つだったりしますか。
解決策はシェアの削除、もしくはRun As Root ユーザーの追加。。になります。
471145 : OneFS: 7.1.1, 7.2.0, and 8.0.0.2: Cannot remove run-as-root permissions from SMB share if only one user or group is assigned run-as-root.
HirokiKawashima
38 メッセージ
0
2019年8月30日 02:00
ayasさま
ご確認ありがとうございます。
質問①>
Run as rootが最上位のルート権限を持っていることは理解できたのですが、なるべくこの権限を設定したくありません。
ユーザAのSMBアクセス権限が「フルコントール」ではNTFS権限は変更できないのでしょうか。
質問②>
Run as rootユーザは1つですが、GUIでは削除できましたので、コマンドでも実施できるのではと思ったのですが、以下コマンドで実施できないのでしょうか。
CLIではrootユーザでログインしているので、権限は問題無いと思いますが、コマンドが違う、コマンドではRun as rootは削除できない不具合がある等あるのでしょうか。
また、KB471145が開けない、サポートページで検索しても出てこないのですが、アカウントの権限等の問題なのでしょか。
isi smb shares permission delete <SMB共有名> --group <ユーザA所属グループ@ドメイン名> --zone <ユーザA所属ドメインに対応したゾーン名> -v
m.w
1 Rookie
1 Rookie
•
235 メッセージ
1
2019年9月1日 23:00
HirokiKawashimaさん
横から失礼します。
質問①
SMBアクセス権限がフルコントロールでも、NTFS権限の変更は可能です。
最初、アクセス権の変更に失敗したのは、NTFSのアクセス権変更権限が不足していたためのような気がします。
※私が把握している限りでは所有者の変更はRun as rootが有効になっているユーザーで
なければ実施できません。ですので、データ移行時など所有者情報を維持したまま
コピーする場合は、Run as rootを有効にしています。
質問②
コマンドでも削除可能なはずです。
対象アカウントの指定の仕方が良くないのかもしれません。
以下の指定で実施できました。
<ドメイン名\\グループ名>
※\マークは2つ入力します。
※あと、-vオプションは不要です。
HirokiKawashima
38 メッセージ
0
2019年9月2日 02:00
m.w様
ご確認ありがとうございます。
質問②についてランアズのアカウントをコマンドで削除できました。
質問①について追加で質問がございます。
<質問①>
SMBフォルダ作成時の権限は以下となっております。
この状態のSMBフォルダに対して、NTFSにおけるユーザAの「変更」権限が無いため、失敗しているという事でしょうか。
NTFS上でEveryoneをフルコントロールにし、作成したSMBフォルダをユーザB所属グループに対して自由に使わせる事が目的となります。
ユーザA所属グループはNTFS権限を変更する作業用アカウントという位置づけです。
<SMBアクセス権限>
・ユーザA所属グループ:フルコントロール
・ユーザB所属グループ:フルコントロール
<NTFS権限>
・Everyone:特殊なアクセス許可
・CREATOR OWNER:フルコントロール
・BUILTIN\Administraotors:フルコントロール
・BUILTIN\Users:特殊なアクセス許可、読み取りと実行
<質問②>
ご指摘の通り、アカウントの指定の仕方を以下にしたところ、コマンドでも削除できました。
<ドメイン名\\グループ名>