Data Domain: Risoluzione dei problemi relativi alle autorizzazioni CIFS

• Gli utenti ricevono l'errore "Access Denied" durante la connessione alle condivisioni CIFS.
• I processi di backup hanno esito negativo a causa di problemi di accesso CIFS.
• Le condivisioni CIFS risultano inaccessibili dai client Windows.

Possono verificarsi problemi di autorizzazione CIFS a causa di:

• Errori di autenticazione (Kerberos o NTLM)
• Autorizzazioni errate a livello di condivisione o restrizioni all'accesso client
• Autorizzazioni per file NTFS mancanti o configurate in modo errato
• Obiettivi di replica che applicano l'accesso read-only

La risoluzione dei problemi relativi alle autorizzazioni CIFS segue gli stessi principi di Windows Server. Il comportamento di accesso dipende dall'interazione tra le autorizzazioni di condivisione e le autorizzazioni del file system. Se le autorizzazioni NTFS non sono corrette, modificarle utilizzando Esplora risorse. Per apportare queste modifiche potrebbe essere necessario un amministratore di dominio Windows o un utente autorizzato.

Per risolvere i problemi relativi alle autorizzazioni CIFS, attenersi alla seguente procedura:

1. Verifica dell'autenticazione CIFS

   • Testare la connettività senza specificare una share:

     Start → Run → \\<ddr-hostname|or|IP
     

     • 
   • Se il nome host funziona, l'autenticazione Kerberos ha esito positivo
   • Se l'indirizzo IP funziona, l'autenticazione NTLM ha esito positivo
     • Se entrambi funzionano, aggiungere il nome della condivisione per tentare l'accesso
   • Se entrambi hanno esito negativo, risolvere l'autenticazione prima di procedere

2. Controllare le autorizzazioni di condivisione CIFS

   • In DD-CLI, visualizzare i dettagli della share:

     # cifs share show <share-name>
     Ad esempio:

     ## cifs share show sql
     Shares information for: sql
     --------------- share sql ---------------
     permissions: 1 ACE(s) have been set by MMC
     clients: *
     enabled: yes
     groups: techsupp\sales
     users: techsupp\abc
     maxconn: 0
     writeable: yes
     path: /data/col1/data/sql
     ##

   • Confermare:
     • Utenti/gruppi hanno accesso
     • L'elenco dei client include i nomi host/IP corretti
     • Il percorso esiste ed è scrivibile
   • Modificare le autorizzazioni utilizzando Windows MMC:

     Computer Management → Shared Folders → Shares → Properties → Share Permissions
     

   • Solo gli amministratori di dominio possono modificare le impostazioni di sicurezza della share.

3. Convalida autorizzazioni file NTFS

   • Su client Windows:

     Right-click file/folder → Properties → Security tab
     Verificare che gli utenti/gruppi richiesti dispongano dell'accesso appropriato.

   • Controllo dello stato della replica

     • Se il percorso è una destinazione di replica, è read-only:

       # replication show config
       

     • Per rendere scrivibile, interrompere la replica:

       # replication break rctx://<context-number>
       

     • Eseguire questa operazione sui sistemi di origine e di destinazione.

Note importanti:

• Non combinare dati CIFS e NFS nella stessa cartella.
• Non condividere esportazioni tra CIFS e NFS.
  • Riferimento: Data Domain: Condivisione delle esportazioni tra NFS e CIFS
• Se il client CIFS è multi-homed (dispone di più indirizzi IP), apportare una o più delle seguenti modifiche alla configurazione:
  • Aggiungere entrambe le interfacce all'elenco di accesso alla share
  • Aggiungere entrambi i nomi DNS all'elenco di accesso alla share
  • Apportare modifiche al routing sul client
  • Apportare modifiche alla risoluzione dei nomi host

Panoramica autorizzazioni NTFS

Autorizzazioni file:

• Controllo completo : lettura, scrittura, modifica, esecuzione, modifica di attributi/autorizzazioni e assunzione della proprietà.
• Modifica - Lettura , scrittura, modifica, esecuzione e modifica degli attributi.
• Leggi ed esegui: visualizza i dati dei file, gli attributi, il proprietario, le autorizzazioni ed esegui i file eseguibili.
• Lettura : consente di aprire e visualizzare i dati dei file, gli attributi, il proprietario e le autorizzazioni.
• Write : consente di scrivere o aggiungere dati e modificare gli attributi.

Autorizzazioni cartella:

• Controllo completo : lettura, scrittura, modifica, esecuzione di file, modifica di attributi/autorizzazioni e assunzione della proprietà.
• Modify - Consente di leggere, scrivere, modificare, eseguire file e modificare gli attributi.
• Leggi ed esegui: visualizza il contenuto della cartella, i dati dei file, gli attributi, il proprietario, le autorizzazioni e i file eseguiti.
• Elenca contenuto cartella - Visualizza il contenuto della cartella e i dettagli del file.
• Lettura : consente di visualizzare i dati dei file, gli attributi, il proprietario e le autorizzazioni.
• Write : consente di scrivere o aggiungere dati e modificare gli attributi.

Gestione della proprietà

Assunzione di proprietà:

1. Cliccare con il pulsante destro del mouse su file /cartelle → Proprietà → Sicurezza → Avanzate.
2. Vai alla scheda Proprietario → Modifica.
3. Seleziona nuovo proprietario; Facoltativamente, applicare a sottocartelle/file.
4. Cliccare su OK due volte.

Assegnazione della proprietà:

1. Aprire la scheda Proprietà → Sicurezza → Avanzate → proprietario → Modifica.
2. Cliccare su Other Users or Groups, immettere il nome e controllare Names.
3. Seleziona nuovo proprietario; Facoltativamente, applicare a sottocartelle/file.
4. Cliccare su OK due volte.