Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
957 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Divers

  les ACL me résistent

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

les ACL me résistent

n°1239633
dinendal
Posté le 25-09-2010 à 08:40:39  profilanswer
 

Bonjour,
 
Je suis sur une Ubuntu Server 10.04 LTS.
J'ai besoin de droits étendus sur mon serveur, aussi j'utilise les ACL (du moins j'essaye).
Les partition sont montées de telle manière à ce que les ACL soient prises en compte au démarrage.
Malgré plusieurs tests je n'arrive pas à faire en sorte :
- que les ACL prennent en compte les utilisateurs/groupes que j'ajoute
- que les masques soient effectifs lors de la création de nouveaux dossiers/fichiers
 
Exemple :
-Deux utilisateurs : user1 et user2
 
-Un groupe dont seul user2 fait partie : guest
 
-Un répertoire /mnt/DD/partage avec les droits suivants  

Code :
  1. drwxr-x--- user1 user1


-Mise en place des ACL :  

Code :
  1. setfacl -Rm u:user1:rwx,d:u:user1:rwx,g:guest:rwx,d:g:guest:rwx /mnt/DD/partage


- Vérification des ACL :  

Code :
  1. getfacl /mnt/DD/partage
  2. # file: mnt/500Go/partage/
  3. # owner: user1
  4. # group: user1
  5. user::rwx
  6. user:user1:rwx
  7. group::r-x
  8. group:guest:rwx
  9. mask::rwx
  10. other::---
  11. default:user::rwx
  12. default:user:user1:rwx
  13. default:group::r-x
  14. default:group:guest:rwx
  15. default:mask::rwx
  16. default:other::---


Résultat je ne peux pas créer de documents avec user2 et lorsque user1 en crée un il n'hérite pas des droits que je spécifie...c'est comme si les ACL étaient en place mais ne s'appliquaient pas...ai-je mal compris quelque chose?  :sweat:  
Help!

mood
Publicité
Posté le 25-09-2010 à 08:40:39  profilanswer
 

n°1239653
bardiel
Debian powa !
Posté le 25-09-2010 à 10:09:27  profilanswer
 

C'est peut être idiot, mais ton user2 il est connecté comment au serveur ?
En tant que "guest" ou "user2" ? :heink:

 

Quand je lis le résultat du getfacl, pour moi seuls "user1" et les "guest" ont les rwx. Les autres non.
Et même si "user1" et "user2" font partie du même groupe, "user2" ne peut lire et exécuter (r-x), donc ne peuvent écrire.

 

Place plutôt tes ACLs par groupe si tu as quelque chose qui les gère (un LDAP par exemple) :

setfacl -R -m g:mon_groupe:rwx mon_dossier
setfacl -R -m d:g:mon_groupe::rwx mon_dossier
setfacl -R -x d:g:: mon_dossier


En toute logique tu aurais ainsi :

Spoiler :

# owner: user1
# group: mon_groupe
user::rwx
user:user1:rwx
group::rwx
group:mon_groupe:rwx
mask::rwx
other::---
default:user::rwx
default:user:user1:rwx
default:group::rwx
default:group:mon_groupe:rwx
default:mask::rwx
default:other::---

 

Si tu n'as pas de groupe/gestion des groupes, tu peux faire plusieurs fois un setfacl d'utilisateur avec ton user1, user2, etc...


Message édité par bardiel le 25-09-2010 à 10:09:44

---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
n°1239671
e_esprit
Posté le 25-09-2010 à 12:16:37  profilanswer
 

Tes utilisateurs y accèdent comment ? en local ? en NFS ? en samba ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240268
dinendal
Posté le 28-09-2010 à 21:37:53  profilanswer
 

Merci pour vos réponses rapides!
 
- user1 fait partie du groupe user1
- guest est juste un groupe
- user2 fait partie du groupe guest (et user2 par extension)
 
Je souhaite que  
- mon user1 puisse écrire dans partage (en local et via Samba)
- que tous les membres du groupe guest puissent lire et exécuter uniquement dans partage (en local et via Samba)
- que tout fichier crée (en local ou via Samba) prennent les droits suivant user1:guest:other en rwx:r-x:---
 
Je ne dispose pas de LDAP et la stratégie d groupe m'intéresse plus que par utilisateur ...
 
Je viens de vérifier les ACL, elles sont les suivantes :

# file: mnt/DD/partage
# owner: user1
# group: guest
user::rwx
user:user1:rwx
group::r-x
group:guest:r-x
mask::rwx
other::---
default:user::rwx
default:user:user1:rwx
default:group::r-x
default:group:guest:r-x
default:mask::rwx
default:other::---


A priori cela devrait répondre à mes besoins. Actuellement :
- les droits d'accès sont corrects (c'est peut être plus lié au chmod et chown qu'aux ACL)
- l'attribution des droits lors de la création de fichiers ne se fait pas...

n°1240269
e_esprit
Posté le 28-09-2010 à 21:41:13  profilanswer
 

Oui mais tes tests tu les a fais en local ou via samba ? :o
 
Parce que pour Samba y a 2/3 trucs à configurer pour que ça fonctionne :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240463
dinendal
Posté le 29-09-2010 à 18:24:11  profilanswer
 

DSL pour la réponse un peu vague...j'ai fais mes tests en local pour commencer.
D'ailleurs cela fonctionne maintenant en tapant les commandes une a une plutot que séparées par une virgule (sans doute une erreur de saise de ma part).
 
Maintenant je bloque en effet sur Samba, donc si tu as ces deux ou trois trucs en tête ça m'aiderait bien ^^
De plus, j'ai fait des liens symboliques dans certains répertoires ou les droits semblent corrects. Résultat : en local cela fonctionne, via Samba impossible d'y accéder ...
 
A titre d'information la commande suivante : testparm -vs | grep "follow symlinks"
me renvoie:

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[data]"
Processing section "[Photos]"
Processing section "[Incoming]"
Processing section "[anonymous]"
Loaded services file OK.
Server role: ROLE_STANDALONE
        follow symlinks = Yes


Message édité par dinendal le 29-09-2010 à 18:43:41
n°1240474
e_esprit
Posté le 29-09-2010 à 20:05:45  profilanswer
 

Dans ton/tes partage(s) samba :
inherit acls = yes
inherit permissions = yes
 
Et après ça devrait rouler.


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240475
dinendal
Posté le 29-09-2010 à 20:09:40  profilanswer
 

Merci pour les infos.
Toutefois cela ne semble pas marcher après redémarrage de Samba...Quelque chose d'autre à vérifier?

n°1240476
e_esprit
Posté le 29-09-2010 à 20:29:42  profilanswer
 

Tu l'as bien mis dans les partages ?
Pas dans les options globales ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240477
dinendal
Posté le 29-09-2010 à 20:30:25  profilanswer
 

Yes sir!
A vrai dire j'ai testé les deux....donc d'ou pourrai bien venir le pb?

[global]
   workgroup = WORKGROUP
   server string = %h (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 1
   panic action = /usr/share/samba/panic-action %d
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Entersnews*spassword:* %nn *Retypesnews*spassword:* %n                                                                             n *passwordsupdatedssuccessfully* .
   pam password change = yes
   socket options = TCP_NODELAY
   nt acl support = yes
   browsable = yes
   guest ok = yes
   read only = yes
   write list =user1
   read list = @guest
   create mask = 0750
   directory mask = 0750
 
[data]
   comment = Donnés
   path = /mnt/500Go/data
   inherit acls = yes
   inherit permissions = yes
 
[Photos]
   comment = Photos
   path = /mnt/500Go/data/Photos
   read only = no
   browsable = no
   inherit acls = yes
   inherit permissions = yes
 
[Incoming]
   comment = Incoming
   path = /mnt/500Go/Incoming
   inherit acls = yes
   inherit permissions = yes
 
[anonymous]
   comment = Dossier partage
   path = /mnt/500Go/Incoming/anonymous
   inherit acls = yes
   inherit permissions = yes
 


Message édité par dinendal le 29-09-2010 à 21:15:01
mood
Publicité
Posté le 29-09-2010 à 20:30:25  profilanswer
 

n°1240478
e_esprit
Posté le 29-09-2010 à 21:23:44  profilanswer
 

La seule chose que j'ai en plus c'est :
writable = yes
 
Mais bon, je crois pas que ça changera grand chose...
Ton samba supporte les acls au moins ? :o


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240599
dinendal
Posté le 30-09-2010 à 18:10:34  profilanswer
 

Je vais faire mon boulet, mais je pensais que samba le supportait de base! Comment puis je vérifier cela?


Message édité par dinendal le 30-09-2010 à 18:11:08
n°1240616
e_esprit
Posté le 30-09-2010 à 20:01:46  profilanswer
 

C'etait une vanne :o
 
J'ose espérer que le samba de Ubuntu server supporte les ACLs... :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1240621
bardiel
Debian powa !
Posté le 30-09-2010 à 20:10:38  profilanswer
 

C'est au niveau noyau que les ACLs sont supporté ou pas (enfin c'est comme ça que je testais).
Après le Lynx Lucide devrait en théorie supporté, donc bon c'est pas par là qu'il faudrait voir :o
Le "writable = yes" me semblait indispensable, mais si son user1 arrive à écrire dans son dossier, ça doit être optionnel.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Divers

  les ACL me résistent

 

Sujets relatifs
ACL's sur NFS[Linux] Incompatibilité NFSv3 & ACL
Mais à quoi servent les ACL ? (peu de support ... et toujour ugo)existe-il un outil de gestion des ACL en mode graphique ?
ACL et serveur FTP sous vsFTPdACL Squid streaming squi bloc les téléchargements
Questions sur Squid et les ACLACL squid
les ACLReverse Proxy : authentification et ACL des sites
Plus de sujets relatifs à : les ACL me résistent

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.055 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR