2273 connectés

FORUM HardWare.fr

Linux et OS Alternatifs

Divers

les ACL me résistent

Recherche :

Dernière réponse
Sujet : les ACL me résistent
bardiel	C'est au niveau noyau que les ACLs sont supporté ou pas (enfin c'est comme ça que je testais). Après le Lynx Lucide devrait en théorie supporté, donc bon c'est pas par là qu'il faudrait voir :o Le "writable = yes" me semblait indispensable, mais si son user1 arrive à écrire dans son dossier, ça doit être optionnel.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

bardiel

C'est au niveau noyau que les ACLs sont supporté ou pas (enfin c'est comme ça que je testais).
Après le Lynx Lucide devrait en théorie supporté, donc bon c'est pas par là qu'il faudrait voir :o
Le "writable = yes" me semblait indispensable, mais si son user1 arrive à écrire dans son dossier, ça doit être optionnel.

e_esprit

C'etait une vanne :o

J'ose espérer que le samba de Ubuntu server supporte les ACLs... :D

dinendal

Je vais faire mon boulet, mais je pensais que samba le supportait de base! Comment puis je vérifier cela?

e_esprit

La seule chose que j'ai en plus c'est :
writable = yes

Mais bon, je crois pas que ça changera grand chose...
Ton samba supporte les acls au moins ? :o

dinendal

Yes sir!
A vrai dire j'ai testé les deux....donc d'ou pourrai bien venir le pb?

[global]
workgroup = WORKGROUP
server string = %h (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 1
panic action = /usr/share/samba/panic-action %d
security = user
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Entersnews*spassword:* %nn *Retypesnews*spassword:* %n n *passwordsupdatedssuccessfully* .
pam password change = yes
socket options = TCP_NODELAY
nt acl support = yes
browsable = yes
guest ok = yes
read only = yes
write list =user1
read list = @guest
create mask = 0750
directory mask = 0750

[data]
comment = DonnÃ©s
path = /mnt/500Go/data
inherit acls = yes
inherit permissions = yes

[Photos]
comment = Photos
path = /mnt/500Go/data/Photos
read only = no
browsable = no
inherit acls = yes
inherit permissions = yes

[Incoming]
comment = Incoming
path = /mnt/500Go/Incoming
inherit acls = yes
inherit permissions = yes

[anonymous]
comment = Dossier partage
path = /mnt/500Go/Incoming/anonymous
inherit acls = yes
inherit permissions = yes

e_esprit

Tu l'as bien mis dans les partages ?
Pas dans les options globales ?

dinendal

Merci pour les infos.
Toutefois cela ne semble pas marcher après redémarrage de Samba...Quelque chose d'autre à vérifier?

e_esprit

Dans ton/tes partage(s) samba :
inherit acls = yes
inherit permissions = yes

Et après ça devrait rouler.

dinendal

DSL pour la réponse un peu vague...j'ai fais mes tests en local pour commencer.
D'ailleurs cela fonctionne maintenant en tapant les commandes une a une plutot que séparées par une virgule (sans doute une erreur de saise de ma part).

Maintenant je bloque en effet sur Samba, donc si tu as ces deux ou trois trucs en tête ça m'aiderait bien ^^
De plus, j'ai fait des liens symboliques dans certains répertoires ou les droits semblent corrects. Résultat : en local cela fonctionne, via Samba impossible d'y accéder ...

A titre d'information la commande suivante : testparm -vs | grep "follow symlinks"
me renvoie:

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[data]"
Processing section "[Photos]"
Processing section "[Incoming]"
Processing section "[anonymous]"
Loaded services file OK.
Server role: ROLE_STANDALONE
follow symlinks = Yes

e_esprit

Oui mais tes tests tu les a fais en local ou via samba ? :o

Parce que pour Samba y a 2/3 trucs à configurer pour que ça fonctionne :D

dinendal

Merci pour vos réponses rapides!

- user1 fait partie du groupe user1
- guest est juste un groupe
- user2 fait partie du groupe guest (et user2 par extension)

Je souhaite que
- mon user1 puisse écrire dans partage (en local et via Samba)
- que tous les membres du groupe guest puissent lire et exécuter uniquement dans partage (en local et via Samba)
- que tout fichier crée (en local ou via Samba) prennent les droits suivant user1:guest:other en rwx:r-x:---

Je ne dispose pas de LDAP et la stratégie d groupe m'intéresse plus que par utilisateur ...

Je viens de vérifier les ACL, elles sont les suivantes :

# file: mnt/DD/partage
# owner: user1
# group: guest
user::rwx
user:user1:rwx
group::r-x
group:guest:r-x
mask::rwx
other::---
default:user::rwx
default:user:user1:rwx
default:group::r-x
default:group:guest:r-x
default:mask::rwx
default:other::---

A priori cela devrait répondre à mes besoins. Actuellement :
- les droits d'accès sont corrects (c'est peut être plus lié au chmod et chown qu'aux ACL)
- l'attribution des droits lors de la création de fichiers ne se fait pas...

e_esprit

Tes utilisateurs y accèdent comment ? en local ? en NFS ? en samba ?

bardiel

C'est peut être idiot, mais ton user2 il est connecté comment au serveur ?
En tant que "guest" ou "user2" ? :heink:

Quand je lis le résultat du getfacl, pour moi seuls "user1" et les "guest" ont les rwx. Les autres non.
Et même si "user1" et "user2" font partie du même groupe, "user2" ne peut lire et exécuter (r-x), donc ne peuvent écrire.

Place plutôt tes ACLs par groupe si tu as quelque chose qui les gère (un LDAP par exemple) :

setfacl -R -m g:mon_groupe:rwx mon_dossier
setfacl -R -m d:g:mon_groupe::rwx mon_dossier
setfacl -R -x d:g:: mon_dossier

En toute logique tu aurais ainsi :

Spoiler :

# owner: user1
# group: mon_groupe
user::rwx
user:user1:rwx
group::rwx
group:mon_groupe:rwx
mask::rwx
other::---
default:user::rwx
default:user:user1:rwx
default:group::rwx
default:group:mon_groupe:rwx
default:mask::rwx
default:other::---

Si tu n'as pas de groupe/gestion des groupes, tu peux faire plusieurs fois un setfacl d'utilisateur avec ton user1, user2, etc...

dinendal

Bonjour,

Je suis sur une Ubuntu Server 10.04 LTS.
J'ai besoin de droits étendus sur mon serveur, aussi j'utilise les ACL (du moins j'essaye).
Les partition sont montées de telle manière à ce que les ACL soient prises en compte au démarrage.
Malgré plusieurs tests je n'arrive pas à faire en sorte :
- que les ACL prennent en compte les utilisateurs/groupes que j'ajoute
- que les masques soient effectifs lors de la création de nouveaux dossiers/fichiers

Exemple :
-Deux utilisateurs : user1 et user2

-Un groupe dont seul user2 fait partie : guest

-Un répertoire /mnt/DD/partage avec les droits suivants

Code :

drwxr-x--- user1 user1

-Mise en place des ACL :

Code :

setfacl -Rm u:user1:rwx,d:u:user1:rwx,g:guest:rwx,d:g:guest:rwx /mnt/DD/partage

- Vérification des ACL :

Code :

getfacl /mnt/DD/partage
# file: mnt/500Go/partage/
# owner: user1
# group: user1
user::rwx
user:user1:rwx
group::r-x
group:guest:rwx
mask::rwx
other::---
default:user::rwx
default:user:user1:rwx
default:group::r-x
default:group:guest:rwx
default:mask::rwx
default:other::---

Résultat je ne peux pas créer de documents avec user2 et lorsque user1 en crée un il n'hérite pas des droits que je spécifie...c'est comme si les ACL étaient en place mais ne s'appliquaient pas...ai-je mal compris quelque chose? :sweat:
Help!