Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Droits d'accès précis avec Samba 3

Keskiveu

Par Keskiveu
dans OS alternatifs

 Partager

Messages recommandés

Keskiveu Mega Power Member

Keskiveu

Posté(e)
Posté(e)

Bonsoir tout le monde.

Voilà mon problème :

Je dois gérer des droits d'accès à un serveur de fichiers Samba pour une salle de 18 pc. Deux de ceux-ci sont admin, les 16 autres sont simples utilisateurs (tous sous Windows XP Pro). Sur le serveur, chaque utilisateur doit avoir son répertoire perso en accès complet pour lui, mais en lecture seule pour les autres. Les admins, par contre, doivent pouvoir faire le ménage de temps en temps et donc supprimer ou ajouter des fichers dans n'importe quel répertoire. Pour l'instant je n'arrive pas à créer des permissions d'accès aussi précises : soit tout le monde a accès en écriture, soit personne; je n'arrive pas à affiner tout ça avec les droits unix... Je me suis donc installé devant Google, et j'ai vu que Samba avait des options "write list" et "read list", mais je n'arrive pas à m'en servir, je ne comprends pas comment les faire cohabiter avec les permissions unix. Je nage complètement en fait... Quelqu'un aurait-il une expliquation ou un lien vers une doc claire à ce sujet ?

Je précise que c'est un Samba 2.x (je ne me rappelle plus de la version exacte), mais je suis disposé à la passer en 3 si nécessaire.

Autre chose : est-ce qu'un contrôleur de domaine serait interessant pour ce genre d'utilisation ?

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

Je n'ai pas encore creusé le sujet, mais je peux au moins te dire ceci : ce n'est pas la peine de trop jouer avec les permissions sous Unix pour les partages Samba. Les permissions locales ne sont pas prises en compte puisque même si les utilisateurs sont authentifiés par des noms d'utilisateurs locaux, c'est le daemon qui fait les accès disque avec les droits root. Le mieux est de travailler uniquement à partir du fichier smb.conf.

J'ai un exemple de "write list" sous les yeux :

# A publicly accessible directory, but read only, except for people in
# the "staff" group
[public]
  comment = Public Stuff
  path = /home/samba
  public = yes
  writable = yes
  printable = no
  write list = @staff

A priori il faut regrouper les utilisateurs autorisés dans un groupe nommé "toto" et ajouter "@toto" en face de "write list"....

Keskiveu Mega Power Member

Keskiveu

Posté(e)
  • Auteur
Posté(e) (modifié)

C'est bien ce qu'il me semblait. Ma config est semblable, mais pourtant je n'arrive à rien... Je m'embrouille peut-être dans les utilisateurs ? Je ne peux pas tester en réel pour l'instant, donc je me débrouille en monoposte. Mais je pense que ta config est la bonne. Les droits unix ont apparement beaucoup d'incidence sur samba (qui est bien lancé en root) ; il vaudrait peut-être mieux donner un accès complet à tout les groupes concernés et affiner avec smb.conf.

 

PS : existe-t'il une commande qui permette de recharger /etc/group sans remémarrer le système ? J'ai l'impression que les modifs sur ce fichier ne sont pas prises en compte immédiatement.

Modifié par Keskiveu
Greywolf Tera Power Extrem Member

Greywolf

Posté(e)
Posté(e)

la prise en compte de l'appartenance à un nouveau groupe n'est effective qu'après un relog de l'utilisateur en question.

essaion Junior Member

essaion

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Pour la question des droits d'accès aux répertoires, je ne me suis pas trop posé la question, n'ayant pas pris la peine de gérer la sécurité dans mon seul réseau :)

 

En ce qui concerne la question de savoir si un contrôleur de domaine serait intéressant pour ton utilisation, je suppose que la réponse est oui.

 

A ce qu'il me semble, l'intérêt d'utiliser Samba en contrôleur de domaine est principalement lié au fait que chaque utilisateur sera susceptible de se connecter sur n'importe quel poste, avec un profil qu'il conserve quel que soit le poste.

Cela peut aussi permettre d'exécuter des scripts sur le poste à la connexion d'un utilisateur (pour monter des lecteurs réseaux, ou programmer des mises à jour par exemple). Dans l'idéal, les utilisateurs stockent toutes les données qu'ils veulent conserver, mais uniquement sur le serveur - quitte à déplacer l'emplacement des répertoires personnels sous Windows (le fameux "Mes Documents" par exemple).

Bref, toute sorte de besoins que même en temps que particulier, je commence à ressentir (forcément, avec 4 PCs à la maison...).

Je viens juste de déclarer mon serveur Linux comme PDC à la maison (je tâcherai de poster des liens vers les pages qui m'ont été utiles si cela t'intéresse) et, malgré quelques difficultés de mise en place, cela en vaut la peine.

Evidemment, si chacun des PC de la salle n'est utilisé que par un et un seul utilisateur, et qu'on se moque bien de centraliser les données sur le serveur, l'intérêt n'est pas le même ;)

 

De mon côté, je cherche maintenant comment faire pour récupérer la configuration de l'environnement d'un utilisateur Windows local Toto sur un autre compte utilisateur Titi du domaine.

J'ai recopié le contenu du répertoire "C:\Documents & Settings\Toto" dans le répertoire "/home/Titi/profile", mais ça n'a rien donné. Si quelqu'un a une idée... (je vais chercher de mon côté, mais sait-on jamais ? :)

Modifié par essaion
  • 2 mois après...
Keskiveu Mega Power Member

Keskiveu

Posté(e)
  • Auteur
Posté(e)

Ca y est, enfin, j'ai fini par y arriver ...

Voilà comment j'ai fait :

Tous les utilisateurs sont dans le groupe "users" et les deux administrateurs dans le groupe "admins".

 

smb.conf :

[nom du partage]
path = /var/partage/utilisateurs
writable = yes
browsable = yes
create mask = 0640
directory mask = 0750
valid users = @admins,@users
admin users = @admins
force group = users

 

L'option "admin users" permet aux utilisateurs qui lui sont associés de se comporter comme l'utilisateur root sur ce partage, donc avec tous les droits.

Cette config permet aux utilisateurs d'ajouter leurs fichiers, en accès complet pour eux mais en lecture seule pour les autres membres du groupe. Les "admin users" on accès complet à tous les fichiers de ce partage. "force group" permet d'allouer un groupe à tous les fichiers et répertoires crées, quel que soit l'utilisateur qui le crée. Les permissions unix sur "/var/partage/utilisateurs" doivent permettre l'écriture pour le groupe "users". Elles sont en 0770, user="root" et group="users"

 

Ouf, c'est terminé, j'y croyais plus :P Prochaine étape, le contrôleur de domaine.

 

Merci pour votre aide :P

 

essaion : pour transférer les profils, il me semble avoir vu au cours de mes recherches qu'il fallait passer par un soft (fourni avec windows) pour que ça fonctionne, on ne peut pas se contenter d'une copie. Si je retrouve le site je te donne l'url.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...