質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

バックアップ

バックアップとは、保存データやプログラムの複製を異なる記録装置などへ保存することを言います。バックアップを取っておくことで、機器のトラブルでデータが損傷するなどの不測の事態にもデータを複製することが可能です。

POSIX

POSIXは、UNIX系OSでの共通機能などを維持するための標準を策定した規格。POSIX仕様によって開発したプログラムは、POSIXに準じたOSであればどれも同じように動作させることが可能です。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

samba

Samba(サンバ)とは、UNIX系OSにおいてSMBを用いたサービスを提供するためのソフトウェアです。ネットワークを通じて、ファイル共有及びプリンタ共有などのサービスをWindowsマシンへと提供します。ライセンス体系GPLに基づきフリーソフトウェアとして公開されています。

受付中

sambaファイルサーバーのバックアップデータに対するアクセス権(パーミッション)について

kamekame0505
kamekame0505

総合スコア7

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

バックアップ

バックアップとは、保存データやプログラムの複製を異なる記録装置などへ保存することを言います。バックアップを取っておくことで、機器のトラブルでデータが損傷するなどの不測の事態にもデータを複製することが可能です。

POSIX

POSIXは、UNIX系OSでの共通機能などを維持するための標準を策定した規格。POSIX仕様によって開発したプログラムは、POSIXに準じたOSであればどれも同じように動作させることが可能です。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

samba

Samba(サンバ)とは、UNIX系OSにおいてSMBを用いたサービスを提供するためのソフトウェアです。ネットワークを通じて、ファイル共有及びプリンタ共有などのサービスをWindowsマシンへと提供します。ライセンス体系GPLに基づきフリーソフトウェアとして公開されています。

0回答

0評価

1クリップ

863閲覧

投稿2021/09/02 17:28

Centos Stram8にて2台のSamba-ad-dcを構築ました。
ファイルサーバーへのアクセスは、ADユーザーを利用してアクセス制御を行い、ファイルパーミッションは、POSIX ACLでADのグループ情報でアクセス権を与えています。
ファイルサーバーのデータバックアップは、2台のサーバに相互でnfs4でNASをマウントしrsyncでコピーをしています。
サーバ故障時は健全なサーバから故障したサーバのバックアップにアクセスします※1
※1:smb.confに「server1-backup」、「server2-backup」のように記載しエクスプローラーから読み取り専用でアクセス
※ADユーザーは200人程おり、グループデータは30グループ程です。

構成は以下の通りです。
〇アクセス時
●Windowsクライアント⇒linuxファイルサーバー(samba)⇒NAS(Synology)

・Windowsクライアント:DHCP(144.0.77.**)
・linuxファイルサーバー1:144.0.77.150(NIC1)
:192.168.68.100(NIC2)
・linuxファイルサーバー2:144.0.77.151(NIC1)
:192.168.68.101(NIC2)
・NAS-1:192.168.68.200
・NAS-2:192.168.68.201

●フォルダ階層
server1-共有フォルダ(sambaで表示させている名称)
|-01_共有フォルダ---
|-01_Aグループ
|-02_Bグループ
|-03_Cグループ
|-02_専用フォルダ---
|-01_Aグループ
|-02_Bグループ
|-03_Cグループ

01_共有フォルダはA~Cのグループが読み書き可
02_専用フォルダはA~Cの各グループ+指定の組み合わせ(01_AグループにはAグループ+Bグループを読み書き可のような形)が読み書き可
のようにPOSIX ACLでアクセス権を付けています。

現状の課題

nfsマウントのため、POSIX ACLはコピー不可でアクセス権がすべて外れ、バックアップデータにアクセスした場合誰でも見れる状態になってしまう。

実現したい事

バックアップデータへのアクセス時、ファイルサーバーにアクセスした時と同じようにアクセス制御を行いたい。

試したこと

setfaclを試しましたが、nfsマウントはサポート対象外
nfs4-acl-toolを試しましたが、ADユーザーのグループ情報を与える方法が分からず断念しました。
ファイルサーバーを踏み台にし、ポートフォワードでNASにアクセスできるか試しましたが不可能でした。

その他

Windows Serverで構築し、NASをVHDマウントすれば解決しますがLinuxでの構築が条件のため上記方法で構築しております。

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

TaichiYanagiya

2021/09/03 00:06

NAS を NFS ではなく、cifs でマウントできないでしょうか?
kamekame0505

2021/09/03 14:59

回答ありがとうございます。 cifsでマウントしましたがposix aclは有効になりませんでした。 また、接続ユーザーを指定しないといけないため細かいアクセス制御の実現が不可と思われます。
TaichiYanagiya

2021/09/03 15:41

あ、cifs だとユーザー固定でしたね。 NFSv4 なら POSIX ACL をサポートしているようですが、NAS 側が未対応でしょうか。 Linux で Samba を使わずに、TCP 139, 445 番などをポートフォワードするのはダメなのでしょうか? firewalld でポートフォワードがうまくいかなければ、SSH とかでも。
kamekame0505

2021/09/03 17:14

synology NASがPOSIX ACLに対応していない可能性があり確認中です。 Sambaを使わずに、TCP139,445をポートフォワードするのはどのようなイメージでしょうか? firewalldでポートフォワードを試しましたが、エクスプローラからのアクセス時ポート指定ができないようでアクセス不可となりました。 SSHをポートフォワードする場合、WindowsクライアントからTeraTermでSSHアクセスした際転送されてしまうなど懸念がありますが試してみます。
TaichiYanagiya

2021/09/04 02:41

firewalld のポートフォワードだと、NAS からの戻りパケットが Linux に返るようにルーティングする必要があります。 SSH のポートフォワードだと、プロキシのような接続経路になるので、NAS のルーティングはそのままでいいです。 Linux で samba を停止し、root ユーザーで "ssh -f -N -L 0.0.0.0:445:192.168.68.200:445 localhost" とします。 0.0.0.0:445 で LISTEN し、接続を受けると 192.168.68.200:445 に転送します。
kamekame0505

2021/09/11 17:59

追記が遅くなり申し訳ありません。 上記頂いた方法で実施する場合、メインのアクセス先となるファイルサーバーが使えなくなってしまうため 運用上NGとなります。 そもそも、sambaの「hide unreadable」機能がNFSマウントしているディレクトリに対して有効となるのかが問題な気がしますので調べてその他の解決策を検討してみます。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

バックアップ

バックアップとは、保存データやプログラムの複製を異なる記録装置などへ保存することを言います。バックアップを取っておくことで、機器のトラブルでデータが損傷するなどの不測の事態にもデータを複製することが可能です。

POSIX

POSIXは、UNIX系OSでの共通機能などを維持するための標準を策定した規格。POSIX仕様によって開発したプログラムは、POSIXに準じたOSであればどれも同じように動作させることが可能です。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

samba

Samba(サンバ)とは、UNIX系OSにおいてSMBを用いたサービスを提供するためのソフトウェアです。ネットワークを通じて、ファイル共有及びプリンタ共有などのサービスをWindowsマシンへと提供します。ライセンス体系GPLに基づきフリーソフトウェアとして公開されています。