Samba: droits et interdictions

Brakam · Le 04/07/2010, à 18:40

Bonjour à tous,

depuis pas mal de temps je recherche une astuce pour améliorer l'utilisation de Samba. Je ne trouve pas, alors je poste ici.

J'utilise Samba en entreprise depuis presque 10 ans (9 ans 3/4, on ne chipotte pas). J'utilise les ACL pour avoir des droits plus fins car à partir d'une dizaine d'utilisateurs on ne s'en sort pas. Sauf si tout les fichiers sont accessibles n'importe comment, ce qui est courant

Une chose qui fonctionne très bien sous Windows est d'avoir une ACL contenant "l'utilisateur X n'a pas l'accès en lecture au répertoire Y" (pour ceux qui connaissent, c'est la colonne de droite dans la fenêtre des ACL Windows).
Avec Linux, impossbile. Donc avec Samba, impossible.

Vous allez me dire qu'il suffit d'ajouter tous les utilisateurs sauf X dans l'ACL. C'est ingérable.

Quelqu'un entrevoit une astuce ?

AlexandreP · Le 05/07/2010, à 02:56

Bah, interdire le droit d'exécution (qui équivaut à l'ouverture d'un dossier, lorsqu'il s'agit de répertoires) à l'utilisateur en question ?

Par exemple :
- Alice doit avoir le droit d'ouvrir le dossier, de lire le dossier et d'écrire dans le dossier /media/Dossier/ ;
- Bob doit avoir le droit d'ouvrir le dossier et de lire le dossier /media/Dossier/, mais pas d'y écrire ;
- Eve ne peut ni ouvrir le dossier /media/Dossier/, ni le lire, ni y écrire.

administrateur@ordinateur:~$ sudo setfacl -m u:alice:rwx,u:bob:r-x,u:eve:--- /media/Dossier

Un document intéressant chez Lea-Linux : Gestion des ACL

Dernière modification par AlexandreP (Le 05/07/2010, à 02:58)

Mammouths · Le 05/07/2010, à 16:24

Bonjour,

La demande est vraiment étrange...
Les acl sont liées au système de fichiers utilisé.
De plus sous windows c'est des groupes qui sont utilisées pour la gestion des acl (à la windows).
Et sous windows il y a des groupes dans d'autres groupes.
Donc il faut un système de fichiers (ReiserFS ou XFS ) sous Linux qui supporte les acl et surtout la notion de groupe qui appartient à un autre groupe.
Un serveur ldap, serveur dns, dhcp couplé (inscription des noms de machine windows)
Donc il faut samba monter en contrôleur de domaine (pas simple)....

Xarkam · Le 05/07/2010, à 19:55

http://contribs.martymac.org/ ca peut aider.

AlexandreP · Le 06/07/2010, à 01:02

Hello,

Mammouths a écrit :

La demande est vraiment étrange...
Les acl sont liées au système de fichiers utilisé. [...] Donc il faut un système de fichiers (ReiserFS ou XFS ) sous Linux qui supporte les acl [...]

Il faut que le noyau Linux utilisé soit compilé avec la prise en charge des ACL. Dans Ubuntu, c'est déjà le cas : on peut donc utiliser le noyau Linux standard fourni avec Ubuntu sans le recompiler. De plus, il peut gérer les ACL enregistrés dans plusieurs systèmes de fichiers : ext2, ext3, ext4, reiserFS, JFS, XFS, BTRFS, les lecteurs réseau NFS...

AlexandreP@Ubuntu:~$ grep ACL /boot/config-2.6.32-23-generic 
CONFIG_EXT2_FS_POSIX_ACL=y
CONFIG_EXT3_FS_POSIX_ACL=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_REISERFS_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_OCFS2_FS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_GENERIC_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m

Par contre, on note l'absence du NTFS dans cette liste : le noyau Linux n'est pas capable de prendre en charge les ACL des systèmes de fichiers NTFS.

Mammouths a écrit :

De plus sous windows c'est des groupes qui sont utilisées pour la gestion des acl (à la windows).
Et sous windows il y a des groupes dans d'autres groupes.

Il est possible de créer une ACE, dans Windows, pour un utilisateur en particulier. Si je ne m'abuse, les paramètres de sécurité pour chaque ACE se base sur un SID, et un utilisateur a un SID.

Dans un environnement d'entreprise, avec centralisation des comptes dans un serveur LDAP/Active Directory et prise en charge de règles de sécurité globales (plutôt que locales), il n'est effectivement pas recommandé d'assigner des restrictions d'accès à un compte d'utilisateur précis -- il faut le faire sur un plutôt sur un groupe de domaine local --, mais cela pourrait très bien s'appliquer dans une plus petite structure où les comptes d'utilisateurs sont gérés localement dans chacun des ordinateurs d'une maison ou d'une petite entreprise.

Mammouths a écrit :

Un serveur ldap, serveur dns, dhcp couplé (inscription des noms de machine windows)
Donc il faut samba monter en contrôleur de domaine (pas simple)....

Non, ce n'est pas nécessaire. Les comptes d'utilisateurs peuvent être créés directement dans la machine serveur de fichiers et dupliqués dans les machines client. C'est envisageable dans des petites structures comme une maison ou une PME, mais inimaginable dans des grandes infrastructures. Dans ce dernier cas, effectivement, il faut penser à une centralisation des comptes d'utilisateurs dans un serveur LDAP, et là ça commence à devenir un peu plus sportif.

Mammouths · Le 06/07/2010, à 17:55

(re)-bonjour à tous,

Bonjour,

Donc voilà j'ai (enfin !) retrouvé le lien permettant de monter un contrôleur de domaine windows avec samba en 30 minutes sur une distribution ubuntu 10.04.
La procédure suivit à la lettre marche nickel chrome, ce qui est rare et doit être remarqué
Merci donc à bulletxt auteur de cette procédure, il y a des parties pour windows 7 qui ne s'inventent pas (comme d'habitude..)

Je le site :

Create a Samba Primary Domain Controller with LDAP integration inside Ubuntu 10.04, both 32bit and 64bit.
In less than 30 minutes you'll have:
- A fully working PDC for Windows Clients
- Roaming profiles NOT enabled (this is what most of you want)
- Be able to have shared folders automatically mounted when a user logs into the domain
- Tested and fully working with(all flavours): Windows XP, Windows Vista and even Windows 7!

http://ubuntuforums.org/showthread.php?t=1499753

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/07/2010, à 18:40

Samba: droits et interdictions

#2 Le 05/07/2010, à 02:56

Re : Samba: droits et interdictions

#3 Le 05/07/2010, à 16:24

Re : Samba: droits et interdictions

#4 Le 05/07/2010, à 19:55

Re : Samba: droits et interdictions

#5 Le 06/07/2010, à 01:02

Re : Samba: droits et interdictions

#6 Le 06/07/2010, à 17:55

Re : Samba: droits et interdictions

Pied de page des forums