[qson]

Hej där!
Har byggt en webbtjänst i PHP. Den jobbar mot en Access-databas (.mdb) från vår bokföring samt läser och skapar diverse textfiler (importfiler till bokföringen).
Skall försöka strukturera upp det, så jag har webbtjänsten på en server och bokföringen på en annan (domänkontrollant/filserver).
Tidigare har allt legat på samma server. Webbtjänsten har listat filer i en lokal mapp och sparat till lokala mappar. Nu uppstår problem när jag försöker komma åt filer via nätverket med UNC-sökvägar (\\server\share\file.txt).

Hur skall jag tänka?
Skall jag bygga om systemet så den hämtar info via FTP istället?
Skall jag sätta upp en mini-webbtjänst på bokf.servern som listar innehållet i textfilerna?
Skall jag synka filer mellan gamla och nya servern varje natt och således ha dubbla uppsättningar, vilket förbättrar prestandan på webbtjänsten eftersom den inte behöver lista filer på nätverket.

Så småningom skall dessa servrar få separata internetanslutningar, och då blir det väl FTP som gäller (eller kanske VPN)?

Nu har jag tillfälligt lagt hela webbtjänsten på min arbetsmaskin och där funkar det med nätverks-accessen. Kanske körs Apache/PHP som min egen användare?

Ojoj, mycket frågor...

[Westman]

Windows? Att accessa filer UNC-sökvägar kräver oftast att det görs med ett konto som har rätt att prata på nätverket. Om det är IIS så måste man konfigurera om applikationspoolens konto och ska man dessutom tillåta direktåtkomst (om det är en virtuell katalog) så ska även "Connect as" användas. Observera att även om du på sharet som ska kommas åt tillåter Everyone (mao. inget konto behövs) så om det är en windowsmaskin som webben ligger på så måste den process som ska komma åt filen köras med ett konto som har rätt att prata på nätverket. Kika i local security policy så ser du vilka det är.

[qson]

Kör Apache på webbservern (Windows SBS 2003) och filservern är också en windows-server.
Har tillfälligt satt Apache-tjänsten att köras som Administrator, men det är ingen hållbar lösning, rent säkerhetsmässigt.

Vilka permissions skall jag sätta på en ny användare för att den skall kunna starta tjänsten, komma åt nätverket och övrigt för att webbservern skall funka?
Har ställt in "Allow user to act as part of the local system" i grupp-policyn. Dock osäker på var jag skall länka denna GPO.
Har även gett användaren läsrättigheter i system32-mappen för att komma åt nödvändiga dll-er samt htdocs och apache/php-mappen.
Dock går det inte att starta tjänsten med dessa inställningar.
Därav Administratör-kontot.

[Westman]

Nej för f-n, inte "act as part of the local system". Det är lika illa som administrator.

För att göra det enkelt och samtidigt få lite säkerhet så skapa en lokal användare som har "Logon as a service" och ligger i gruppen Users. Starta sedan apache med den användaren. Se också till att användaren har behörighet att skriva till loggar och alla andra ställen som den kan behöva ändra. Det borde räcka.