Ubuntu-fr

Florent Flo

[RESOLU] Ecrire avec apache dans un répertoire LDAP

Bonjour,

Voilà, j'ai un intranet tout bête qui génère des pdfs et les enregistre dans un répertoire local. Je souhaiterai désormais les enregistrer dans un répertoire commun aux utilisateurs du réseau.
Oui mais voilà, je n'arrive pas à donner accès à mon utilisateur www-data au répertoire NFS géré par LDAP (own : root:LDAPGroup)

J'ai essayé d'ajouter www-data à LDAPGroup => Impossible (sudo usermod -a -G LDAPGroup www-data ou sudo usermod -g LDAPGroup www-data)
J'ai créé un utilisateur LDAP dédié et demandé à Apache de l'utiliser => Pas d'accès pour autant (export APACHE_RUN_USER=apache et export APACHE_RUN_GROUP=LDAPGroup dans /etc/apache2/envvars)

Quelqu'un aurait-il une bonne idée ?

Merci beaucoup

Dernière modification par Florent Flo (Le 04/05/2015, à 07:36)

veilleur0808

Re : [RESOLU] Ecrire avec apache dans un répertoire LDAP

Un samba ne fait pas l'affaire ?

Braun

Re : [RESOLU] Ecrire avec apache dans un répertoire LDAP

Bonsoir,
Je n'ai rien compris, mais si ton utilisateur « www-data » a accès à un répertoire donné tu devrais pouvoir y mettre un lien symbolique vers ton lieu commun, quitte, le cas échéant à ouvrir ce dernier à tous les vents.

Florent Flo

Re : [RESOLU] Ecrire avec apache dans un répertoire LDAP

Merci pour vos réponses

Veilleur0808, j'ai un serveur nfs qui fonctionne très bien, c'est un peu bizarre d'ajouter un samba pour ça non ?
Braun, mon lieu commun est sur un serveur différent. Le répertoire partagé est monté sur le serveur de mon intranet dans /mnt. Mon problème, c'est comment donner accès à mon utilisateur www-data à ce répertoire en fait ? (sans l'ouvrir à tous les vents justement, car il s'agit de documents confidentiels sur un réseau mutualisé).

Je continue à creuser, mais si vous avez une suggestion, je suis preneur !

Florent

Edit : J'ai réussi !!!!
Ce que j'ai fait :
- Création d'un utilisateur LDAP pour mon serveur apache (UID : 1006 dans mon cas)
- Modification de /etc/exports pour que quelque soit l'utilisateur de ce serveur, il utilise l'utilisateur créé et le GID 501 :

/export/files 192.168.0.0/24(rw,nohide,insecure,no_subtree_check,async) [b]IP_SERVEUR_INTRANET(rw,all_squash,anonuid=1006,anongid=501,sync,no_subtree_check)[/b]

- On n'oublie pas d'exporter la nouvelle config :

sudo exportfs -ra

Et voilà, ça marche nikel !

Bonne journée

Dernière modification par Florent Flo (Le 28/04/2015, à 08:54)

Braun

Re : [RESOLU] Ecrire avec apache dans un répertoire LDAP

Bonjour,

Modification de /etc/exports pour que quelque soit l'utilisateur de ce serveur, il utilise l'utilisateur créé et le GID 501

Fort bien, mais n'y a-t-il pas un risque de faille ?
Ceci mis à part, ne pouvais-tu pas donner à LDAP l'UID 501 ?
Je dis probablement une bêtise car je présume que cet UID doit être déjà attribué.
Cordialement

Florent Flo

Re : [RESOLU] Ecrire avec apache dans un répertoire LDAP

Concernant la faille de sécurité, oui et non. L'UID (1006, 501 c'est le GID ) choisi a des droits restreint puisque c'est un utilisateur créé pour l'occasion.
J'avais bien essayé de jouer avec l'UID de www-data (qui est le 33) et de le mettre partout pour lui donner accès, mais en vain.
Cette solution fonctionne bien et a l'avantage d'afficher clairement qui a créé quel fichier. De plus, j'ai maintenu les règles de sécurité qui ne laisse l'accès à ce répertoire qu'aux utilisateurs autorisés.