Bonjour à tous,
 
J'ai une petite question, sur nos systèmes linux* nous avons une authentification via groupe AD (pam) + une limitation des droits standards (via ssh/umask). Ma question maintenant est comment puis je faire pour donner accès en read only au /var/* à un utilisateur AD spécifique?  
 
J'ai essayé les ACL avec le nom d'utilisateur mais cela ne semble pas fonctionner correctement... setfacl -Rm d:u:utilisateur:r-x /var/*, est ce du au fait que ce ne soit pas des comptes locaux mais des résolutions AD?
 
Quelqu'un aurait des pistes sur ce sujet?
 
Merci d'avance et bonne journée.

Le fait que tu mettes d:u:utilisateur... tu spécifies uniquement les droits par défault, c'est à dire lors des prochaines écritures.
 
Essai avec setfacl -R -m u:utilisateur:r-x /var/*
 
Bien que de base rien qu'avec les droits POSIX, il devrait avoir les droit de lecture (744).

Oh p**** effectivement ca marche mieux, du coup ca signifie que tu es obligé de passer par 2 étapes?  
1ier sur l'existant : setfacl -R -m u:utilisateur:r-x /var/*
2ieme sur tous les fichiers crée par la suite : setfacl -R -m d:u:utilisateur:r-x /var/*
 
C'est ca ou il me manque une logique?
 
PS: non avec les droits POSIX le 744 est positionné sur les dossiers, les fichiers de logs sont en 600

Oui, obligé de passer par les 2 étapes.

Après, avis perso, j'aurais pas mis * à la fin, j'aurai directement mis les droits sur /var, car si un nouveau dossier est créer, il ne sera pas pris en compte.

Pas faux, après je suis pas super fan des ACL car cela surpasse les droits POSIX et ca me dérange un peu...Mais bon je n'ai pas trouvé d'autres solutions alternatives