Bonjour,
 
je travail sur un systeme de centralisation de compte et de partage (ldap/samba) sur debian et mon problème est que je veux rendre inaccessible les répertoires de groupe des utilisateurs ldap au root local de la machine sur lequels le repertoire est monté.
 
typiquement, je ne veux pas qu'un stagiaire ayant un acces root sur sa machine puisse lire (et écrire) les données dans un répertoire monté appartenant au groupe des cdi  
 
je sais qu'avec nfs ca ne marche pas mais est ce possible de mettre en place cettre restriction avec les partage samba?
sur les postes clients windows le probleme n'a pas l'air de se poser mais si vous avez des infos je suis preneur aussi.
 
merci de votre aide, même si vous n'avez pas de solution complete, je prend toutes les pistes, ca me fera apprendre d'autre truc au pire ^^

petit up du jour

re .
En fait pour les poste linux , l'acces root local fout tout en l'air ne serait ce que du fait qu'il a acces au fichiet "ldap.secret" contenant  le mot de passe ldap pour libnss et libpam....si vous avez des solutions je suis preneur...
j'aimerais savoir aussi si au niveau des client windows il y a l'équivalent:
Quand on rejoint un domaine, le root/mdp est demandé, mais est il stocké?  et ou?

y a pas besoin du mot de passe de l'admin ldap pour libnss et libpam, ca se fait en anonyme.
 
pour ton premier truc je ne comprends pas ou est le probleme...
Au pire vire root de LDAP et créé un autre compte qui appartient au groupe ADMIN (windows).
 
Ton mot de passe root est le meme partout ? sur ton ldap et sur tous les clients ?
 
J'ai fai une doc complete sur ce forum

y a t'il un moyen d'empecher le root local de lire les partions samba monté (sous linux) par un utilisateur ldap?
 
Aussi, en faisant un "su ldap-user" en root local je n'ai pas besoin de mot de passe...(mais les partage ne se montent pas) ca fait quand meme pas propre.
 

1) Non, une fois monté, la partition samba appartient à ton systeme, et root a tous les droits.
 
Par contre en utilisant FUSE tu peux surement ( cherche sur le forum on en parle)
 
2)
faut modifier tes fichiers de conf de pam.d/
 
et par defaut, depuis root, que tu te connectes avec n'importe quel autre utilisateur on te demande pas ton mot de passe
 
En plus ca servirait a rien car avec root tu peux faire sauter n'importe quel mot de passe d'un compte local

Je peux donc me connecter avec le root local sur n'importe quel compte ldap.
C'est bien ce que je craignais.
Merci pour Fuse, je vais voir ce que ca donne.