* Права для локального FTP сервера.

Понадобилось настроить сетевой сканер, чтобы файлик отправлялся на фтп сервер в специальную папку. И никак не могу настроить, чтобы прав хватало. Все время ошибка 550 при записи.
В качестве уч.записи использую встроенного юзера ftp. Сделала права доступа:

Ресурс: /FTP/* Протокол: FTP Полномочия: 126

Пробовала указывать роли, проекты, IPадрес — не помогает.
Через TotalCommander, при соединении по ftp под этой учеткой, попадаю в папку, заданную в E4.ini:
[Dirs]
Root=*
Могу ходить внутри папки, но создать, удалить там ничего не могу-ошибка 550 denied.
Если использовать для ftp обычную пользовательскую учетку, то попадаешь в ветку
Data\domains\нашдомен\user\ . И там могу делать все.
Можно ли настроить права так, чтобы редактирование было доступно, и папка была бы не в "личном" пространстве юзера, а как бы в общем доступе?
Ощущения, что для этой учетки права доступа вообще не играют, никаких изменений в поведении я не заметила при любых вариантах полномочий и пр. Где надо копать?

Спасибо.

Автор

Дата

Текст

tags

15.07.2015 13:16

Это скорее всего означает, что ресурс не попадает под маску правила.

В FTP-логе 7е поле — URI — вот его FTP-сервер проверяет по списку ACL.

wikipost

matveeva

15.07.2015 13:46

Вот кусок лога от попытки в TotalCommander соединиться под ftp, перейти в директорию SCAN, создать там папку "1", отключиться:

IP-addr МояУчетнаяЗапись [15/Jul/2015:13:30:54 +0400] "" 220 0 "" "***" IP-addr 0 "_unknown_root_" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "USER ftp" 331 70 "-" "***" IP-addr 0 "_unknown_root_" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "PASS ПАРОЛЬ" 230 23 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "SYST" 215 14 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "FEAT" 211 13 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "PWD" 257 88 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "TYPE A" 200 30 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "PASV" 227 19 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:30:54 +0400] "LIST" 226 0 "/" "***" IP-addr 0 "Папка[Dirs]Root\" IP-addr ftp [15/Jul/2015:13:30:57 +0400] "CWD SCAN" 250 23 "/SCAN" "***" IP-addr 0 "Папка[Dirs]Root\SCAN" IP-addr ftp [15/Jul/2015:13:30:57 +0400] "PWD" 257 37 "/SCAN" "***" IP-addr 0 "Папка[Dirs]Root\SCAN" IP-addr ftp [15/Jul/2015:13:30:57 +0400] "PASV" 227 35 "/SCAN" "***" IP-addr 0 "Папка[Dirs]Root\SCAN" IP-addr ftp [15/Jul/2015:13:30:57 +0400] "LIST" 226 0 "/SCAN/" "***" IP-addr 0 "Папка[Dirs]Root\SCAN\" IP-addr ftp [15/Jul/2015:13:31:02 +0400] "MKD 1" 550 23 "-" "***" IP-addr 0 "Папка[Dirs]Root-" IP-addr ftp [15/Jul/2015:13:31:04 +0400] "QUIT" 221 12 "-" "***" IP-addr 0 "Папка[Dirs]Root-"

где:
IP-addr локальный айпи
Папка[Dirs]Root — папка, указанная в E4.ini
SCAN -подпапка в [Dirs]Root.

В первой строке лога почему-то указана моя учетка, а не ftp. А дальше только ftp.
Седьмой параметр это "-"?
В правах доступа не указывала Url и Dir.

wikipost

15.07.2015 16:16

matveeva пишет: Седьмой параметр это "-"?

Там дальше в этом поле начинает фигурировать "/SCAN". Он сравнивается с вашим "Ресурс: /FTP/*" и не попадает.

Попробуйте для начала такой ACL:
Ресурс: *
Протокол: FTP
IP: ваш.ip.из.лога
Dir: C:\

Если в таком виде заработает, то потом можете сужать область действия ACL по ролям или подкаталогам.

matveeva пишет: IP-addr МояУчетнаяЗапись

Может IP-авторизация включена?

wikipost

matveeva

15.07.2015 17:07
ред: 15.07.2015 17:10

ac пишет: "/SCAN". Он сравнивается с вашим "Ресурс: /FTP/*" и не попадает.

Я пробовала и не заходить в папку "Scan", а работать в корне, все равно не получается.

ac пишет: Если в таком виде заработает, то потом можете сужать область действия ACL по ролям или подкаталогам.

Не, не заработало. При подключении увидела диск С: прокси-сервера. Могу только смотреть, делать ничего не могу. Все проверяю через TotalCommander. Может, приложить лог самого TotalCommander?

ac пишет: Может IP-авторизация включена?

точно, включена

Еще забыла спросить: а изменения в правах доступа сразу действуют или надо службу acWeb перезагружать? Я не перезагружаю

wikipost

16.07.2015 01:55

matveeva пишет: Я пробовала и не заходить в папку "Scan", а работать в корне, все равно не получается.

Корень — это тем более не "/FTP/*".

matveeva пишет: Может, приложить лог самого TotalCommander?

Давайте посмотрим.

matveeva пишет: Еще забыла спросить: а изменения в правах доступа сразу действуют или надо службу acWeb перезагружать?

Нет, не требуется перезапуск. Вы же диск C: увидели после добавления этого правила.

wikipost

matveeva

16.07.2015 14:16

ac пишет: Нет, не требуется перезапуск. Вы же диск C: увидели после добавления этого правила.

А, да, точно.
Лог сеанса ftp в TotalCommander (подключиться, увидеть корень диска C:, перейти в папку @, попытаться создать там папку "qq")

---------- Connect to: (16.07.2015 14:04:34) hostname=МойПрокси:Порт(e4.ini-[FTP]-Port) username=ftp startdir= МойПрокси=локальный IP прокси 220 ДоменноеИмяСервера Eserv/5.05 FTP ready. Thu, 16 Jul 2015 14:04:34 +0400 USER ftp 331 Password required PASS *********** 230 Login OK SYST 215 Windows FEAT 211-Features: MDTM REST STREAM SIZE AUTH TLS AUTH SSL PBSZ PROT 211 End Connect ok! PWD 257 "/" is current directory Чтение каталога... TYPE A 200 Type set to A PORT 192,168,16,28,9,39 200 PORT command successful. LIST 150 Opening data connection Загрузка Ожидание ответа сервера... 226 Transfer complete CWD @ 250 CWD command successful (/@/) PWD 257 "/@/" is current directory Чтение каталога... PORT 192,168,16,28,9,40 200 PORT command successful. LIST 150 Opening data connection Загрузка Ожидание ответа сервера... 226 Transfer complete MKD qq 550 denied

Действующее правило при этом такое:

Ресурс * IP клиента 192.168.16.28 Протокол FTP Полномочия 126 Dir C:\

wikipost

17.07.2015 11:52

matveeva пишет: MKD qq
550 denied

А хватает ли самому процессу acWEB прав для создания каталогов? Проверил с такими же настройками у себя — работает и из TotalCommander, и из FAR.

wikipost

matveeva

17.07.2015 11:58

ac пишет: А хватает ли самому процессу acWEB прав для создания каталогов?

А не знаю

Как посмотреть?

wikipost

17.07.2015 12:29

Если запускаете acWEB службой, то запустите под своей учетной записью (обычным приложением). Если в одном и том же каталоге вы можете создать подкаталог, а acWEB — нет, то дело не в файловых правах.

wikipost

matveeva

17.07.2015 16:43
ред: 17.07.2015 16:52

Спасибо, попробую попозже, когда народ разойдется.
Значит: на прокси (XP) загрузилась под собой (я-админ в домене и на машине). Остановила службу acWeb, запустила acWeb5.exe.
После этого на своей машине снова попробовала ftpсеанс из TotalCommandera. Ничего не изменилось. Либо что-то не так пробовала, либо копать не тут.

wikipost

matveeva

15.06.2016 12:53

Пришлось вернуться к этой проблеме. В общем, с учетной записью 'ftp' так ничего и не получилось. Все время ошибка 550.
В итоге создала юзера ftpuser в существующем проекте, дала ему роль ftp, сделала правило:

Ресурс * Роль ftp Проект клиента eserv2i Протокол FTP Полномочия 126 Dir \\ИМЯКОМПА\ПАПКА\ПАПКАFTP\

Работает только в таком виде.
Если сделать ресурс = /FTP/* , то пытается зайти в папку
"..\data\domains\МОЙДОМЕН\ftpuser-" с ошибкой — нет такой папки ( ее и в самом деле конечно нет) и доступа ни к чему нет.
Это так, для закрытия темы, чтобы потом можно было восстановить в памяти процесс.

wikipost

ili_a

15.06.2016 22:56

matveeva пишет: Если сделать ресурс = /FTP/* , то пытается зайти в папку

Насколько я понял, вы создаете "виртуальную папку" FTP и при этом не указываете локальный путь к ней, поэтому Eserv идет в стандартную папку пользователя, но не находя ее, ничего делать не позволяет... Наверно надо ее создать...
Eserv по FTP в зависимости от настроек может выдавать разные корневые папки, виртуальные и т.д. в зависимости от пользователя и запроса.
У меня, к примеру, из проекта FTP с ролью Admin выдает диск с установленным Eserv, при запросе виртуальной папки Server открывает диск с данными пользователей, а Server_dddd папку с:// на сервере. Правда на сервис acWeb установлены права администратора сети... Чтоб у него были права на вход везде, а ходит он не только туда

Т.Е. Те настройки, которые вы указали в последнем посте влияют на корневую папку FTP пользователя, если вы хотите напрямую подключаться к папке FTP, возможно вы ее должны или создать, или перенаправить на нужный локальный ресурс.
И лично я бы рекомендовал создать под каждый сервис свой проект... так управлять проще

wikipost

matveeva

16.06.2016 11:12

ili_a пишет: Насколько я понял, вы создаете "виртуальную папку" FTP и при этом не указываете локальный путь к ней, поэтому Eserv идет в стандартную папку пользователя, но не находя ее, ничего делать не позволяет... Наверно надо ее создать...

Я делала по аналогии с инструкцией

ac пишет: Для виртуального каталога /help/* \\komp\help$\ из вашего примера ACL такой:
Ресурс: /help/*
Протокол: FTP
Полномочия: 126
Dir: \\komp\help$\

(

http://forum.eserv.ru/E4/Eserv 4 beta/9e080dc0d2426791e94e69702587807f?search=ftp#)
У меня есть komp, там папка WEB, в ней папка FTP.
Ставила:

Ресурс /FTP/* Dir \\komp\WEB\FTP\

Не работает. Хотя при подключении попадает именно в эту папку, я вижу и ее, и содержимое. Но записать ничего не могу.

ili_a пишет: И лично я бы рекомендовал создать под каждый сервис свой проект... так управлять проще

Да у меня только один юзер для этого дела образовался, решила, что проект для этого слишком жирно держать

wikipost

ili_a

16.06.2016 12:09

matveeva пишет: Не работает. Хотя при подключении попадает именно в эту папку, я вижу и ее, и содержимое.

попробуйте

ili_a пишет: Правда на сервис acWeb установлены права администратора сети...

У меня проблем нет

wikipost

matveeva

16.06.2016 12:12

ili_a пишет: Правда на сервис acWeb установлены права администратора сети

Да, возможно, проблема в этом.

Спасибо.

wikipost

ili_a

16.06.2016 13:08
ред: 16.06.2016 13:11

matveeva пишет: Да у меня только один юзер для этого дела образовался, решила, что проект для этого слишком жирно держать

Есть еще одна причина. Если он у вас в основном проекте, к которому прикреплен домен, то по умолчанию у него и Email создается, и он начинает получать почту... Так как логин только для FTP, то как я понимаю, почту никто читать не будет, а значит большая вероятность приема лишнего спама и его, возможно, хранения.
Ну и с ролями "рулить" проще. У пользователя в разных проектах могут быть разные права.

wikipost

matveeva

16.06.2016 15:28

Не, что-то с проектами я туплю совсем. Вот завела проект ftp, завела юзера ftpuser, присвоила ему роль BR7860Scanner в проекте ftp (чтобы сканер мог на ftp-сервер класть сканы). Сделала права:

Ресурс /SCAN/* Роль BR7860Scanner Проект клиента ftp Протокол FTP Полномочия 126 Dir \\komp\WEB\FTP\SCAN\

Этого достаточно? В таком виде не работает. По журналу видно, что пытается прилепиться к

..\data\domains\МойОсновнойДомен\ftpuser\

, не находит его и по 550 ничего не дает делать. Работает с ресурсом = *. Но сетевые права на acWeb не давала

ili_a пишет: У меня, к примеру, из проекта FTP с ролью Admin выдает диск с установленным Eserv, при запросе виртуальной папки Server открывает диск с данными пользователей, а Server_dddd папку с:// на сервере.

Вот не поняла: один и тот же юзер, имеющий разные роли в разных проектах, может видеть разное при подключении к одному и тому же фтп-серверу? Там же только логин-пароль указывается при подключении.

wikipost

ili_a

16.06.2016 15:48
ред: 16.06.2016 15:52

matveeva пишет: Этого достаточно? В таком виде не работает. По журналу видно, что пытается прилепиться к ..\data\domains\МойОсновнойДомен\ftpuser\

Смею предположить, что подключаясь вы не указываете "виртуальный каталог" /SCAN/* т.е ссылка должна выглядеть

ftp://login:Pass@вашFTP.ru/scan/
Да, и у меня почему-то везде в настройках эти папки настроены без последнего "/" т.е. "/SCAN*"
А вообще зачем вам эта виртуальная папка, если этим логином и паролем пользуется только сканер, то он может в корень все класть... тем более вы сказали что у вас единственная учетка для ftp...

matveeva пишет: Вот не поняла: один и тот же юзер, имеющий разные роли в разных проектах, может видеть разное при подключении к одному и тому же фтп-серверу? Там же только логин-пароль указывается при подключении.

Нет, в зависимости от проекта и роли у него могут быть разные права на других сервисах. т.е. к примеру через прокси он может ходить везде, ftp никуда и т.д

wikipost

matveeva

16.06.2016 16:22

ili_a пишет: Смею предположить, что подключаясь вы не указываете "виртуальный каталог" /SCAN/* т.е ссылка должна выглядеть ftp://login:Pass@вашFTP.ru/scan/

Точно

Если указать, то работает, но только в варианте "/SCAN*"

ili_a пишет: А вообще зачем вам эта виртуальная папка, если этим логином и паролем пользуется только сканер, то он может в корень все класть... тем более вы сказали что у вас единственная учетка для ftp...

Да, уже убрала, оставила в ресурсе *, сканер попадает в корень папки сразу.

ага, т.е. ресурсы-то разные

Тогда понятно

Спасибо!

wikipost

Ili_a

16.06.2016 16:53

Отлично!

Поздравлям!

wikipost

Eserv Forum / E5 / Proxy / Права для локального FTP сервера.