[Linux-bruxelles] ACL et la gestion des droits sous Linux

Mer 12 Avr 10:46:41 CEST 2006

Le mercredi 12 avril 2006 à 00:34 +0200, quatron a écrit :
> quatron a écrit :
> 
> > Bon j'ai encore rien compris, ou ca marche pas du tout!
> >
> > Mon problème:
> > J'ai un serveur (Debian sarge) qui partage (nfs et samba) un certain 
> > nombre de dossiers.
> > J'ai des clients sous W$ et sous Linux (Debian Etch)
> > Je voulais que:
> > - certains dossiers soient communs à tous mes utilisateurs en 
> > lecture/écriture
> > - Certains dossiers soient communs en lecture/écriture pour certains 
> > utilisateurs (pas tous)
> > - Certains dossiers ne soient en lecture écriture QUE pour 
> > l'utilisateur correspondant (typiquement le $home de l'utilisateur)
> >
> > En particulier: 3 utilisateurs différents devaient avoir accès à 3 
> > comptes mails communs de manière transparente et ce depuis nimporte 
> > quelle machine et nimporte quel OS.
> >
> > J'ai donc créé des groupes (1 propre à l'utilisateur et 3-4 qui 
> > permettent de les regrouper par "famille" de droits sur les dossiers).
> >
> > J'ai créé les "dir" pour qu'elles appartiennent à un membre du groupe 
> > ET au groupe avec les droits rwxrwx--- (puis avec rwsrws--- mais ca 
> > change rien).
> >
> > Sous W$ , grâce à SAMBA: pas de problème: On peut associer à un "Eport"
> > des droits précis et forcer ceux-ci lors de la création d'un fichier.
> >
> > Sous Linux... c'est autre chose!
> >
> > Beaucoup de pgm, quant ils modifient un fichier, commence par 
> > l'effacer et puis créent un nouveau fichier... qui hérite des droits 
> > par défaut de l'utilisateur (pas des droits de la dir ou il est créé 
> > ni de ceux du fichier qu'il remplace). Si le fichier est nouveau, ce 
> > sont d'office les droits par défaut de l'utilisateur qui prévalent.
> >
> > Comme l'utilisateur est définit avec un groupe par défaut et que, en 
> > toute logique, c'est le groupe de sa DIR personnelle, le fichier créé 
> > a pour droits: rw------- USERID  GUSER
> > Quel que soit la dir ou le fichier est créé!!!!
> > Rem: même en changeant les droits en rw-rw--- le résultat est le même: 
> > les autres utilisateurs ne font (par définition) pas partie de GUSER 
> > et peuvent aller se brosser!
> >
> > Bon c'est con mais.... Y a POSIX!!!!
> > j'installe ACL et.....
> > Même brol!!!!!!
> > A quoi sert le fait de donnent des droits sur une dir si ces droits ne 
> > deviennent pas les droits par défaut des fichiers qui y sont créés?
> >
> > Bon : j'essaye de donner un statut ACL à tous les fichiers de la dir 
> > (bête test puisque pour les nouveaux fichiers... ils n'auraient pas de 
> > statut ACL)
> > Ben ca sert à RIEN: le pgm efface le fichier qui vas être remis à 
> > jour... ET LES DROITS ACL SONT PERDUS!!!!! (Quant aux droits ACL de la 
> > dir: il servent pas plus à créer des droits par défauit à partir de 
> > nfs que sans ACL sous Linux)
> >
> > Ou c'est que je me plante?
> >
> > Merci de votre aide
> >
> Précision : pour forcer des defauts avec ACL je fais:
> setfacl -m d:g:nom_du_groupe:rwx nom_de_la_dir
> 
> Depuis le pc même ca fonctionne: un fichier créé est doté de droits ACL 
> conforme aux défauts ACL.
> Mais depuis un PC client: Ca marche pas: le fichier créé a les droits 
> par défaut linux habituels et pas les droits ACL
> 
> Faut changer quelque chose dans nfs?
> Faut faire tourner ACL sur le client aussi?
> ...?
> Merci pour toute aide

Rapidement: pour faire ce que tu veux faire, tu dois "jouer" avec umask
(et éventuellement le module PAM qui permet de jouer encore mieux avec)
et les droits sur le "setgid bit".

Les ACL ne devraient servir que quand tu dois donner des droits que
j'appelerais «contradictoires», c'est-à-dire des exclusions d'un truc
plus large (c'est super mal exprimé, mais je préférais faire court que
pas du tout). Les ACL sont une arme à double tranchant: ça permet
potentiellement de faire des choses plus fines, mais aussi de se perdre
plus facilement et d'arriver à des aberrations ou des mauvaises
configurations.

-- 
Jérôme Warnier
FLOSS Consultant
http://beeznest.net