🚀 TrueNAS – P5 Hướng Dẫn Phân Quyền Thư Mục Phòng Ban (SMB Access Control Guide)

Cấu hình phân quyền smb truenas đúng cách là yếu tố bắt buộc khi xây dựng file server cho doanh nghiệp.

Trong bài hướng dẫn này, bạn sẽ học cách thiết lập cấu trúc dataset phòng ban và cấu hình SMB ACL sao cho:

• Mỗi phòng ban chỉ thấy thư mục của mình

• Ẩn các thư mục không có quyền truy cập

• Ngăn chặn truy cập chéo giữa các phòng ban

• Tránh lỗi kế thừa quyền (inheritance conflict)

• Hạn chế lỗi Access Denied

Bài hướng dẫn áp dụng cho cả TrueNAS SCALE và CORE sử dụng cơ chế ACL hiện đại.

Dù bạn triển khai cho doanh nghiệp lớn hay văn phòng nhỏ, các best practice trong bài sẽ giúp hệ thống NAS của bạn an toàn và chuyên nghiệp.

🧪 Mô Hình Lab

Chúng ta xây dựng dataset chính:

Yêu cầu hệ thống:

• Mỗi phòng ban có toàn quyền trong thư mục của mình

• Các phòng ban chỉ thấy thư mục của phòng ban đó

• Thư mục Public cho toàn công ty đọc

• Nhóm IT có quyền chỉnh sửa Public

Danh sách phòng ban:

• HR → user thuộc group HR
• Admin → user thuộc group Admin
• Sale → user thuộc group Sale
• Public → toàn công ty Read, IT Edit

Group:

⚠ Lưu ý quan trọng:

Phân quyền theo Group AD.

Dataset khác với folder truyền thống.
Khi dùng làm File Server, để truy cập Dataset con, group của phòng ban đó phải có quyền trên Dataset cha.

Đây là lỗi phổ biến khi cấu hình phân quyền smb truenas.

🛠️ Step 1: Tạo Cấu Trúc Dataset

Vào:

Tạo Dataset Cha

Tên:

Chọn:

Tạo Dataset Con

Bên trong Department:

Chọn:

Không share SMB ở bước này.

Cấu trúc này đảm bảo ACL tách biệt rõ ràng.

🔐 Step 2: Gán Permission

Bây giờ cấu hình ACL chính xác.

Dataset Cha (Department)

Thêm 3 group:

Permission:

Điều này cho phép các phòng ban truy cập container cha.

Dataset Con (HR / Sale / Admin)

Mỗi dataset con:

Thêm group tương ứng.

Ví dụ:

Cấp quyền đầy đủ phù hợp.

Dataset Public

Thêm 3 group:

Thiết lập:

• Company users → Read

• IT group → Edit

Kiểm tra Permission:

ACL kế thừa đúng sẽ giúp hệ thống phân quyền smb truenas hoạt động ổn định.

⚙ Step 3: Chỉnh Sửa SMB Share

Vào:

Mở SMB Share → Advanced

Thiết lập:

Điều này tránh việc preset ghi đè ACL đã cấu hình.

🔑 Step 4: Enable SSH Cho Admin

Trước khi tiếp tục:

• Kiểm tra lại mật khẩu root

• Enable SSH cho user admin

Vào:

Bật dịch vụ SSH.

🖥️ Step 5: Cấu Hình Qua SSH (Ẩn Thư Mục Không Có Quyền)

Bước này bật Access-Based Enumeration (ABE).

Mục đích:

Ẩn dataset khỏi người dùng không có quyền truy cập.

Kiểm Tra ID SMB Share

Chạy lệnh:

Xác định ID dataset.

Ví dụ:

Team ID = 4

Cập Nhật Cấu Hình SMB

Chạy:

Tác dụng:

• Ẩn thư mục không có quyền

• Bật Access-Based Enumeration

Đây là bước cực kỳ quan trọng trong phân quyền smb truenas chuyên nghiệp.

Restart SMB Service

Chạy:

Nhập mật khẩu root để xác thực.

Sau khi hoàn tất:

Người dùng chỉ thấy thư mục họ có quyền truy cập.
Không còn hiển thị thư mục phòng ban khác.

🎯 Các Lỗi Thường Gặp Khi Phân Quyền

❌ Không cấp quyền cho dataset cha
❌ Lỗi kế thừa (inheritance conflict)
❌ Dùng preset lẫn với ACL manual
❌ Không bật Access-Based Enumeration
❌ Quên restart SMB

Các lỗi này gây ra:

• Access Denied

• Lộ thư mục

• Xung đột quyền

• Hiển thị sai folder

🧠 Vì Sao Phân Quyền SMB Quan Trọng?

Nếu cấu hình sai:

• Rò rỉ dữ liệu phòng ban

• Rủi ro bảo mật nội bộ

• Khó audit truy cập

• Hệ thống thiếu chuyên nghiệp

Nếu cấu hình đúng:

✅ Cách ly phòng ban rõ ràng
✅ Bảo mật cao
✅ Hệ thống chuyên nghiệp
✅ Dễ mở rộng về sau

🔥 Tổng Kết

Nắm vững phân quyền smb truenas là kỹ năng quan trọng khi triển khai TrueNAS trong môi trường doanh nghiệp.

Kết hợp:

• Dataset structure chuẩn

• ACL chính xác

• Access-Based Enumeration

Bạn sẽ có một file server:

• An toàn

• Sạch sẽ

• Chuyên nghiệp

• Sẵn sàng production

Ở phần tiếp theo, chúng ta sẽ tối ưu SMB security nâng cao và performance tuning.