Synology 2 – Compartir archivos

Esta guía no es una más de ¿Cómo compartir datos en un Synology?. Te voy a explicar cada detalle y haciendo pruebas para asegurarnos de que todo funciona correctamente. Por eso la guía es un poco larga, pero merece la pena hacerla.


Guía de servidores NAS Synology


Seguimos con nuestra Guía de servidores NAS Synology, en esta segunda entrega, vas a aprender a compartir carpetas en Red, crear usuarios-grupos, estableciendo permisos de acceso a los datos y por último aprenderás conectarte a las carpetas desde distintos dispositivos (Mac, iPHone, PC…).

IMPORTANTE: Este tutorial se realiza con DSM 7.

Planteamiento del laboratorio

Imaginemos que en nuestra empresa, LabsMac, está compuesta por los siguientes departamentos (grupos) y cada uno con sus trabajadores (usuarios) correspondientes:

  • Gerencia: gerente01,
  • Administración: administrador01
  • Servicio técnico: técnico01, técnico02

Sabiendo los grupos y los usuarios, cada uno podrá hacer lo siguiente:

  • Los gerentes tienen control total sobre todos los datos de la empresa, es decir podrán leer-escribirborrar en Gerencia, Administración y Servicio técnico.
  • Los administrativos tienen control total (leer-escribir-borrar) sobre administración y solo lectura para el departamento de servicio técnico.
  • Los técnicos solo tendrán control total (leer-escribir-borrar) sobre servicio técnico.

Parte práctica

Creación de grupos

Empezamos con lo interesante, como sabemos tenemos tres departamentos, por cada departamento creamos un grupo, y por cada trabajador un usuario. Resumen: crear 3 grupos y 4 usuarios.

Primero creamos los grupos y luego los usuarios.

Vamos a nuestro NAS Synology > Panel de Control > Usuario y grupo > Pestaña Grupo y clicamos en Crear, nos aparecerá el asistente para la creación del grupo, creamos el grupo Gerencia y clicamos en siguiente.

En la siguiente pantalla podemos elegir los usuarios que van a pertenecer al grupo, esto lo haremos más adelante, clicamos en siguiente.

En la siguiente pantalla, nos da la opción de asignar qué permisos tendrá el grupo sobre una carpeta compartida, no hacemos nada porque aún no tenemos el recurso compartido, clicamos en siguiente.

Después podremos elegir la cuota para el grupo, en nuestro caso no tocaremos nada, clicamos en Siguiente.

La pantalla de a continuación, sí que es importante. Aquí establecemos los permisos que tendrá el grupo sobre las aplicaciones (AFP, FTP, SMB, File Station), denegamos todo menos SMB y clicamos en siguiente.

En la siguiente pantalla podemos establecer la velocidad de subida y bajada para el grupo, en nuestro caso no tocamos nada y clicamos en Siguiente. Luego nos va a aparecer un resumen de la configuración y clicamos en Finalizado.

Hemos creado el grupo Gerencia, ahora debemos repetir los mismo pasos para los grupos de Administración y Servicio Técnico. Una vez creados los tres grupos, vamos a crear los usuarios.

Creación de usuarios

Dentro del mismo menú de Usuario y Grupo, vamos a la pestaña de Usuario y clicamos en Crear. Vamos a crear el usuario, gerente01, establecemos la contraseña y clicamos en siguiente.

En esta pantalla unimos el usuario que estamos creado a uno de los grupos que creamos anteriormente, para este caso el usuario gerente01 pertenece al grupo Gerencia, una vez marcado el grupo, clicamos en Siguiente

Nota: Cada vez que creas un usuario en el NAS, este se une automáticamente al grupo Users.

Obviamos la siguientes pantallas de asignación de permisos y cuota de usuario.

En la siguiente pantalla se asigna los permisos que tendrán los usuarios sobre las aplicaciones, como vemos aparece denegado todo menos SMB, esto viene de la configuración que hicimos antes. No tocamos nada y clicamos en Siguiente.

No establecemos ningún límite de velocidad y clicamos en siguiente, finalmente nos aparece una ventana del resumen de la configuración, clicamos en Finalizado para terminar. Debes repetir los pasos para los demás usuarios.

Puedes confirmar que los usuarios están en sus grupos correspondientes, haciendo doble click sobre el grupo (Servicio Técnico) y clicar en la pestaña de Miembros. Como puedes observar, tecnico01 y tecnico02 pertenecen a dicho grupo.

Una vez creados grupos y usuarios, vamos a crear la carpeta compartida.

Creación de las recursos compartidos

Para empezar a compartir ficheros en un NAS Synology, debemos crear a lo que le yo le llamo, carpeta raíz, es decir, es la carpeta inicial desde donde parte todo, y de ahí cuelgan las subcarpetas. Obviamente podemos crear varias carpetas raíz.

Lo recomendable es crear una carpeta raíz para un tema en común, por ejemplo, una de copias de seguridad, otra de datos, etc. Para crear esta carpeta raíz, debemos ir al Panel de control>Carpeta compartida>Crear>Crear una carpeta compartida.

  • No marcaremos la primera casilla porque queremos que todo el mundo vea la carpeta raíz.
  • Marcaremos la segunda casilla, cuando un usuario/grupo no tiene permiso sobre una carpeta no podrá verla.
  • Marcamos la tercera casilla, si alguien borra algún documento/carpeta, se irá a la papelera.
  • Marcamos la cuarta casilla, solo los administradores podrán ver la papelera, así ellos podrán restaurar los documentos.

En la siguiente pantalla nos dará la opción de cifrar el disco, en nuestro caso no lo haremos y clicamos en Siguiente.

Ahora se muestra una ventana de configuración avanzada, en nuestro caso pasamos y clicamos en Siguiente.

En la siguiente pantalla confirmamos la configuración y clicamos en Siguiente,

Con esto ya tendríamos la carpeta raíz creada, seguidamente nos aparecerá otra ventana para configurar los permisos, es decir quién podrá acceder a esta carpeta compartida pero de momento vamos a pasar de ella, clicamos en Aplicar sin marcar ninguna casilla.

Aún nos queda crear 3 subcarpetas, la de los tres departamentos. Para esto vamos a la aplicación File Station, en el panel izquierdo, clicamos nuestra carpeta raíz (Datos-LabsMac) y pinchamos en Crear>Crear carpeta y ponemos el nombre de la carpeta a crear, en este caso: Gerencia.

Repetimos el mismo paso para Administración y Servicio técnico.

Ahora viene «lo complicado», establecer correctamente los permisos para que cada trabajador sólo acceda a lo que le corresponde.

Asignando permisos a la carpeta raíz

Recuerda que al crear un usuario, este pertenece automáticamente al grupo Users. Sabiendo esto, vamos a otorgarle al grupo Users los permisos mínimos para que acceda a la carpeta raíz Datos-LabsMac.

Vamos a las propiedades de la carpeta raíz haciendo: clic derecho sobre la carpeta (Datos-LabsMac)> pestaña (Permiso) > Crear

Asignamos los siguientes valores:

Con esto conseguimos que todos los usuarios, accedan a la carpeta raíz.

Asignando permisos a la subcarpetas

Aún nos queda establecer permisos a las subcarpetas. Ya que si accedemos a la carpeta raíz desde cualquier usuario podemos ver y acceder a las carpetas de los otros departamentos.

Vamos a corregir eso, estableciendo permisos en cada carpeta, recordemos lo que podía hacer cada uno:

  • Los gerentes tienen control total sobre todos los datos de la empresa, es decir, podrán leer-escribirborrar en Gerencia, Administración y Servicio técnico.
  • Los administrativos tienen control total (leer-escribir-borrar) sobre administración y solo lectura para el departamento de servicio técnico.
  • Los técnicos solo tendrán control total (leer-escribir-borrar) sobre servicio técnico.

También te recuerdo que si un usuario/grupo no tiene permiso sobre una carpeta/archivo no lo podrá ver

Empezamos con la carpeta Gerencia, vamos a las propiedades de la carpeta > Opciones avanzadas > Excluir permisos heredados, al hacer esto se quitan los permisos que heredó de su carpeta padre (Datos-LabsMac)

Ahora clicamos en Crear y agregamos al grupo Gerencia con los permisos Control total (marcar todas las casillas a excepción de eliminar), clicamos en Finalizado y guardamos.

IMPORTANTE: La casilla eliminar, te permite eliminar la propia carpeta a la que tienes acceso, es decir, eliminar gerencia. En nuestro caso, al haber deshabilitado la aplicación File Station, no puede cambiarse el permiso (ya que tiene activado el permiso de Administración)

Al guardar, Gerencia tiene que verse de la siguiente manera:

La carpeta de Administración debe quedar así:

  • Grupo-Administración (Control total excepto la casilla eliminar)
  • Grupo-Gerencia (Control total excepto la casilla eliminar)

La carpeta de Servicio técnico debe quedar así:

  • Grupo-Gerencia (Control total excepto la casilla eliminar)
  • Grupo-ServicioTecnico (Control total excepto la casilla eliminar )
  • Grupo-Administración (Solo lectura)

Si no te ha quedado claro que es la herencia te lo explico aquí abajo:

Herencia
La herencia significa que las carpetas hijas heredan los permisos de su carpeta padre.
En el primer ejemplo la herencia está activada sobre la carpeta hija, por eso hereda los permisos de lectura y escritura de la carpeta padre.
En cambio en el segundo ejemplo se ha desactivado la herencia, por lo que se eliminan los permisos heredados.

Con esto ya habríamos acabado, ahora toca hace las pruebas de conexión desde varios dispositivos y así nos aseguramos que todo está configurado correctamente.

Probando la configuración y accediendo a los datos compartidos

Pruebas desde un MAC con gerente01 (Se puede acceder a las 3 carpetas)

Desde un Mac vamos a conectarnos al NAS con el usuario gerente01, deberíamos ver las tres carpetas y crear subcarpetas o ficheros dentro de todas las carpetas.

Click derecho sobre Finder>Conectarse al servidor>Ingresamos la IP del servidor NAS (192.168.200.10) y clicamos en Conectar.

En la siguiente pantalla, nos va a pedir usuario y contraseña, ingresamos con gerente01 y la contraseña que pusimos, finalmente clicamos en Conectar.

Se nos va a abrir la ventana con la carpeta raíz Datos-LabsMac y dentro de ella, las 3 carpetas de los departamentos. En la carpeta raíz no podemos crear nada porque solo tenemos permiso de lectura, pero dentro de las departamentos si podemos.

Con esto confirmamos que el el gerente puede ver las 3 carpetas y tiene acceso total a todo.

Pruebas desde un iPhone con administrador01 (Podemos ver Administración y Servicio técnico)

Ahora vamos con el administrador01, lo haremos desde un iPhone, abrimos la aplicación Archivos, clicamos en los 3 puntos azules y en Conectar con el servidor

Ahora introducimos la IP del servidor NAS, 192.168.200.10 y clicamos en Conectar.

En la siguiente pantalla introducimos usuario y la contraseña de administrador01, pinchamos en Siguiente. Estamos dentro y vemos solo las carpetas a las que tenemos acceso, Administración (Control total) y Servicio técnico (Solo lectura)

Si intentamos crear una carpeta dentro de administración, nos permite hacerlo.

Ahora si nos vamos a la carpeta de Servicio técnico e intentamos crear una carpeta no nos va a dejar por el tema de los permisos.

Pruebas desde un Windows con tecnico02 (Podemos ver Servicio técnico)

Para la última prueba, vamos a un equipo Windows y accedemos con el usuario tecnico02. En la barra de dirección del explorador de Windows, ingresamos la dirección IP del servidor NAS \\192.168.200.10 y pulsamos Enter. Nos aparecerá la ventana para autenticarnos con tecnico02 y clicamos en Aceptar.

Confirmamos que solo vemos la carpeta de Servicio Técnico y si intentamos crear una carpeta fuera de ella no nos deja.

Intentamos eliminar la propia carpeta de Servicio Tecnico no podemos porque si recordamos NO ACTIVAMOS la CASILLA de eliminar carpeta.

Última prueba para acabar, creamos una carpeta y fichero de texto dentro de la carpeta de nuestro departamento y nos deja sin problemas! Con esto hemos acabado la guía.

Resumen y conclusión

Reconozco que es un tutorial largo, por eso me veo en la obligación de hacer un resumen.

Hemos aprendido a crear carpetas compartidas, grupos y usuarios, asignar los permisos necesarios para cada grupo, con esto ganamos una trazabilidad sobre los ficheros/carpetas y delimitamos los acceso a los recursos. También hemos aprendido acceder a los recursos compartidos desde distintos sistemas operativos.

Espero que te haya gustado este post, aunque es largo de ver, merece la pena porque aprenderás a trabajar correctamente, nos vemos en el siguiente post!!