Serverscript laten uitvoeren als user

[joser]

Beste,

De FM-server draait op een ander domein dan de users. Nu wens ik bestanden te benaderen op het domein van de users. Omwille van beveiligingen wenst de IT-man de FM-server geen toegang te verlenen tot de bestanden op dat domein.

Het script werkt wel vanuit een user sessie indien deze de Windows/domein rechten heeft om deze fileshare te benaderen. Wanneer de FM-server dit als scheduled task initieert lukt dit niet doordat dit niet met een specifieke domein user is. 

Om hier tot een beveiligde oplossing te komen is het vereist dat u vanuit het script (dat automatisch ingesteld staat op de server) een Windows domeinaccount kan meegeven die onder die gebruiker verbinding maakt met die fileshare. Zodoende kunnen we op die user de nodige rechten instellen zodat die connectie mag maken.

Iemand een idee hoe dit te verwezelijken?

[Peter Wagemans]

Dus een FileMaker Server heeft toegang nodig tot de bestanden van een server die in een ander domain zitten.

De FileMaker Server draait default onder de SYSTEM account op Windows, deze account heeft geen netwerk share access.

Je kan de FileMaker Server service onder een Windows user account laten draaien, maar als je dat kan vermijden, doet je dat beter niet. Als de IT man op machine niveau (en dat kan hij) de toegang ontzegt, heb je er tenandere helemaal gelegen. Maar dat is eigenlijk naast de kwestie. De service zal volgens mij niet draaien onder een domain account, alleen local accounts, als de FMS niet zélf in het domain zit. Ik kan me vergissen. Maar het lijkt me geen goeie richting om te nemen.

Kan je situatie niet omkeren en de bestanden naar de FileMaker Server pushen? Je kan ook op een andere manier van transport overstappen die geen gebruik maakt van Windows accounts. Bijvoorbeeld SFTP, of zelfs HTTPS . Of een share maken op de FileMaker Server, en de bestanden daar zetten.

Kijk eens naar een tooltje als FreeFileSync, het is een sync tool die je kan gebruiken om automatisch bestanden te syncen. Misschien kan je daar het sync gedeelte mee doen (dus inloggen als domain user) en dan eenvoudigweg je server side script laten runnen met de gesyncte files. Windows/Mac en kan heel grote hoeveelheden data aan.

Er zijn heel wat combinaties mogelijk hier. Maar je server side script van credentials laten wisselen lijkt me geen werkbare combinatie. Denk ook aan het security aspect. Net wat de IT man wil vermijden, ga jij gemakkelijker maken, want hierdoor wordt hoe dan ook een gat in de security geprikt. Denk maar aan het stukje waar je de credentials naar het domain gaat opgeven op de FileMaker Server. Je geeft een hacker bijna de sleutels om binnen te breken.

[Marsau]

Het is mij niet zo duidelijk wat je vraag is. De server laten inloggen op user-accounts? En dan? Bestanden wegschrijven, ophalen, verwijderen? Wat vinden de users daarvan?

Ik heb onlangs een bat/shell scriptje geïmplementeerd op een FMS om extern bestanden weg te schrijven onder een bepaalde account. Deze wordt aangeroepen door Base Elements, maar zou ook in een FMS-schedule kunnen worden gezet, afhankelijk van je doelstellingen.

In deze richting kan je ook denken. 

Maar wellicht ook raadzaam om even uit de box te stappen en te zien of je het juiste probleem probeert op te lossen. 

[menno]

Als je de server bestanden in een ander domein wilt laten benaderen (crud, m.a.w. met full access) dan kan je het beste de GraphAPI van Microsoft integreren. Een prima startpunt is een afrtikel van Wim Decorte: https://www.soliantconsulting.com/blog/microsoft-graph-api-filemaker-one/