logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision
Révision précédente
doc:systeme:acl [02/12/2011 21:38]
smolski créée
doc:systeme:acl [19/03/2017 20:47] (Version actuelle)
smolski [Introduction]
Ligne 1: Ligne 1:
-====== Les Access Control List (ACL) ======+====== Les ACL ou Access Control List  ====== 
 + 
 +  * Objet : Les ACL, gestion fines des droits 
 +  * Niveau requis :​{{tag>​avisé}} 
 +  * Commentaires : Vous voulez créer un dossier partagé entre toto, titi et tata, mais vous ne souhaitez que certains sous-dossiers ne soient accessibles qu'à toto et d'​autre à tata. Sans les ACL, c'est vite un casse tête. 
 +  * Suivi : {{tag>​à-tester à-completer}} 
 +    * Création par [[user>​smolski]] le 02/12/2011  
 +    * Testé par <...> le <...>  
 +  * Commentaires sur le forum : [[https://​debian-facile.org/​topic-4622-wiki-les-acl-page-1.html | ici]]((N'​hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) 
  
 ===== Introduction ===== ===== Introduction =====
Ligne 5: Ligne 14:
 La mise en place des ACL permet une gestion fine des accès des utilisateurs,​ des groupes, aux répertoires et aux fichiers d'une partition qui dispose d'un "file system"​ qui accepte les acl. (par ex: Ext3). La mise en place des ACL permet une gestion fine des accès des utilisateurs,​ des groupes, aux répertoires et aux fichiers d'une partition qui dispose d'un "file system"​ qui accepte les acl. (par ex: Ext3).
  
-Il faut installer le paquetage acl à l'aide de votre gestionnaire de paquetages favori. +Il faut installer le paquetage acl
-Puis il faut déclarer la prise en charge des acl dans le fichier /etc/fstab en ajoutant ",​acl"​ après "​defaults"​ de la partition concernée:​ +
- +
-   /​dev/​VOLUME/​5 /donnees ext3 defaults,​acl 1 2+
  
 +<code root>​apt-get update && apt-get install acl</​code>​
 +<note important>​FIXME Puis il faut déclarer la prise en charge des acl dans le fichier /etc/fstab en ajoutant ",​acl"​ après "​defaults"​ de la partition concernée: <​note>​Plus nécessaire sous Wheezy le 16/​01/​2014</​note>​
 +<​code>/​dev/​VOLUME/​5 /donnees ext3 defaults,​acl 1 2</​code></​note>​
 Vous redémarrez ensuite votre serveur. Vous redémarrez ensuite votre serveur.
  
 La mise en place des ACL implique trois notions principales:​ La mise en place des ACL implique trois notions principales:​
- +  ​- ACL « minimale ​Composée exclusivement d’éléments de type propriétaire,​ groupe et « reste du monde », l ’ACL minimale est une traduction « en ACL » des droits d’accès traditionnels Unix. 
- 1.ACL « minimale ​» +  - ACL étendue ​L’ACL étendue prolonge les droits de l’ACL minimale. Elle contient au moins un élément de type mask et peut contenir des éléments de type utilisateur et/ou groupe. 
- +  - ACL par défaut ​Les ACL par défaut ne peuvent être appliquées qu’aux répertoires et définissent de quels droits un objet du système de fichiers devra hériter (de son répertoire parent) lors de sa création.
-Composée exclusivement d’éléments de type propriétaire,​ groupe et « reste du monde », l ’ACL minimale est une traduction « en ACL » des droits d’accès traditionnels Unix. +
- +
- 2.ACL étendue +
- +
-L’ACL étendue prolonge les droits de l’ACL minimale. Elle contient au moins un élément de type mask et peut contenir des éléments de type utilisateur et/ou groupe. +
- +
- 3.ACL par défaut +
- +
-Les ACL par défaut ne peuvent être appliquées qu’aux répertoires et définissent de quels droits un objet du système de fichiers devra hériter (de son répertoire parent) lors de sa création.+
  
 ===== Les commandes ===== ===== Les commandes =====
Ligne 33: Ligne 33:
  
 Cette commande permet l'​affichage des acl Cette commande permet l'​affichage des acl
- +<code user>getfacl ​ nom_de_repertoire ​     # affiche les acl de nom_de_répertoire</​code>​
-    ​getfacl ​ nom_de_repertoire ​     # affiche les acl de nom_de_répertoire ​+
     ​     ​
-Le format de sortie de getfacl ressemble à ceci: +Le format de sortie de getfacl ressemble à ceci : \\
 Pour un répertoire qui ne dispose que des acl "​minimales"​ Pour un répertoire qui ne dispose que des acl "​minimales"​
 +<file config retour de la commande>​
 +# file: nom_de_repertoire
 +# owner: root
 +# group: root
 +  user::rwx
 +  group::rwx
 +  other::---
 +</​file>​
 +Ce qui correspond au :
 +<code user>ls -al nom_de_repertoire
 +                   ​drwxrwx--- ​ 1 root root  596354 sep  4 20:59 nom_de_repertoire</​code>​
  
-                   # file: nom_de_repertoire +Pour un répertoire ​qui dispose d'acl étendues et d'acl par défaut ​: 
-                   # owner: root +<file config retour de la commande>​ 
-                   # group: root +# file: nom_de_repertoire 
-                     ​user::​rwx +# owner: root                
-                     ​group::​rwx +# group: root 
-                     ​other::​--- +  user::​rwx ​                 # Les droits du propriétaire 
-   Ce qui correspond au ls -al nom_de_repertoire +  user:​joe:​rwx ​              # Les droits de l'​utilisateur supplémentaire joe 
-                   ​drwxrwx--- ​ 1 root root  596354 sep  4 20:59 nom_de_repertoire +  group::​rwx ​                # Les droits du groupe du propriétaire 
- +  group:​cool:​rwx ​            # Les droits du groupe supplémentaire cool 
-Pour un répetoire ​qui dispose d'acl étendues et d'acl par défaut +  group:​hot:​r-x ​             # Les droits du groupe supplémentaire hot 
- +  group:​cold:​--- ​            # Les droits du groupe cold 
-                  # file: nom_de_repertoire +  mask:​rwx ​                  # Les droits les plus élevés 
-                  # owner: root                +  other:​--- ​                 # Les droits des "​autres"​ 
-                  # group: root +  default:​user::​rwx ​         # Les droits par défaut sont attribués automatiquement pour  
-                    user::​rwx ​                 # Les droits du propriétaire +  default:​user:​joe:​rwx ​      # les nouveaux fichiers et répertoires créés.  
-                    user:​joe:​rwx ​              # Les droits de l'​utilisateur supplémentaire joe +  default:​group::​rwx ​        # Les acl par défaut ne concernent donc que les répertoires 
-                    group::​rwx ​                # Les droits du groupe du propriétaire +  default:​group:​hot:​r-x ​      
-                    group:​cool:​rwx ​            # Les droits du groupe supplémentaire cool +  default:​group:​cold:​--- 
-                    group:​hot:​r-x ​             # Les droits du groupe supplémentaire hot +  default:​mask:​rwx 
-                    group:​cold:​--- ​            # Les droits du groupe cold +  default:​other:​--- 
-                    mask:​rwx ​                  # Les droits les plus élevés +</​file>​
-                    other:​--- ​                 # Les droits des "​autres"​ +
-                    default:​user::​rwx ​         # Les droits par défaut sont attribués automatiquement pour  +
-                    default:​user:​joe:​rwx ​      # les nouveaux fichiers et répertoires créés.  +
-                    default:​group::​rwx ​        # Les acl par défaut ne concernent donc que les répertoires +
-                    default:​group:​hot:​r-x ​      +
-                    default:​group:​cold:​--- +
-                    default:​mask:​rwx +
-                    default:​other:​---+
  
 Il est utile d'​enregistrer l'​ensemble des acl quand on a un serveur de fichiers dans une communauté de travail hétérogène (des centaines d'​utilisateurs et de groupes). Cette manipulation peut se faire grâce à la commande: Il est utile d'​enregistrer l'​ensemble des acl quand on a un serveur de fichiers dans une communauté de travail hétérogène (des centaines d'​utilisateurs et de groupes). Cette manipulation peut se faire grâce à la commande:
  
-  ​getfacl -R /donnees > nom_de_fichier ​      # L'​option -R permet la récursivité sur tous les répertoires,​+<​code>​getfacl -R /donnees > nom_de_fichier ​      # L'​option -R permet la récursivité sur tous les répertoires,​
                                              # sous-répertoires et fichiers de la partition /donnees                                              # sous-répertoires et fichiers de la partition /donnees
                                              # L'​enregistrement de l'​ensemble de ces acl est effectué dans                                               # L'​enregistrement de l'​ensemble de ces acl est effectué dans 
-                                             # le fichier nom_de_fichier+                                             # le fichier nom_de_fichier</​code>​
  
 ==== setfacl ==== ==== setfacl ====
Ligne 83: Ligne 84:
 === Attribution des acl étendues === === Attribution des acl étendues ===
  
-    ​setfacl -m g:cool:rwx nom_de_repertoire ​ # Pour ajouter le groupe cool et ses droits pour le +<​code>​setfacl -m g:cool:rwx nom_de_repertoire ​ # Pour ajouter le groupe cool et ses droits pour le 
-                                             # répertoire non_de_repertoire +                                             # répertoire non_de_repertoire</​code> ​ 
-    setfacl -m g:cool:rwx nom_de_fichier ​    # Pour ajouter le groupe cool et ses droits pour le +                                              
-                                             # fichier non_de_fichier +<​code>​setfacl -m g:cool:rwx nom_de_fichier ​    # Pour ajouter le groupe cool et ses droits pour le 
-    setfacl -m u:fany:rwx nom_de_repertoire ​ # Pour ajouter l'​utilisateur fany et ses droits pour le +                                             # fichier non_de_fichier</​code> ​ 
-                                             ​# répertoire non_de_repertoire +                                              
-En utilisant -R pour la récursivité,​+<​code>​setfacl -m u:fany:rwx nom_de_repertoire ​ # Pour ajouter l'​utilisateur fany et ses droits pour le 
 +                                        # répertoire non_de_repertoire 
 +En utilisant -R pour la récursivité,​</​code> ​
  
-    ​setfacl -R -m g:cool:rwx nom_de_repertoire ​ # Pour ajouter le groupe cool et ses droits pour le+<​code>​setfacl -R -m g:cool:rwx nom_de_repertoire ​ # Pour ajouter le groupe cool et ses droits pour le
                                                 # répertoire,​ l'​ensemble des sous-répertoires et                                                  # répertoire,​ l'​ensemble des sous-répertoires et 
-                                                # fichiers du répertoire non_de_repertoire+                                                # fichiers du répertoire non_de_repertoire</​code>​
  
 === Attribution des acl par défaut === === Attribution des acl par défaut ===
  
-    ​setfacl -m d:​g:​cool:​rwx nom_de_repertoire ​  # Pour ajouter le groupe cool et ses droits par défaut  +<​code>​setfacl -m d:​g:​cool:​rwx nom_de_repertoire ​  # Pour ajouter le groupe cool et ses droits par défaut  
-                                                # pour le répertoire non_de_repertoire+                                                # pour le répertoire non_de_repertoire</​code> ​
  
-En utilisant -R pour la récursivité, +En utilisant -R pour la récursivité ​: 
-     +<​code>​setfacl -R -m d:​g:​cool:​rwx nom_de_repertoire # Pour ajouter le groupe cool et ses droits par défaut
-    ​setfacl -R -m d:​g:​cool:​rwx nom_de_repertoire # Pour ajouter le groupe cool et ses droits par défaut+
                                                  # pour le répertoire,​ l'​ensemble des sous-répertoires                                                  # pour le répertoire,​ l'​ensemble des sous-répertoires
-                                                 # et fichiers du répertoire non_de_repertoire+                                                 # et fichiers du répertoire non_de_repertoire</​code>​
  
 === Attribution des acl à l'aide d'un fichier === === Attribution des acl à l'aide d'un fichier ===
  
-Il est possible de restituer l'​ensemble des acl d'une partition grâce au fichier obtenu par la commande: +Il est possible de restituer l'​ensemble des acl d'une partition grâce au fichier obtenu par la commande : 
-    getfacl -R /donnees > nom_de_fichier+<​code>​getfacl -R /donnees > nom_de_fichier</​code>​
  
-Pour ce faire, il suffit de se placer à la racine et d'​exécuter la commande: +Pour ce faire, il suffit de se placer à la racine et d'​exécuter la commande : 
- +<​code>​setfacl --restore=nom_de_fichier</​code>​
-    ​setfacl --restore=nom_de_fichier+
  
 S'il s'agit de restituer les acl sur une arborescence plus petite on peut utiliser: S'il s'agit de restituer les acl sur une arborescence plus petite on peut utiliser:
- +<​code>​setfacl -R -M nom_de_fichier repertoire</​code>​
-    ​setfacl -R -M nom_de_fichier repertoire+
  
 === Suppression des acl === === Suppression des acl ===
  
 Pour supprimer tous les acl: Pour supprimer tous les acl:
 +<​code>​setfacl -b repertoire ​         # Suppression juste pour le répertoire</​code>​
 +
 +<​code>​setfacl -b fichier ​            # Suppression juste pour le fichier</​code>​
  
-    setfacl -b repertoire ​         # Suppression juste pour le répertoire +<​code>​setfacl -R -b repertoire ​      # Suppression pour le répertoire,​ les sous-répertoires et fichiers</​code>​
-    setfacl -b fichier ​            # Suppression juste pour le fichier +
-    ​setfacl -R -b repertoire ​      # Suppression pour le répertoire,​ les sous-répertoires et fichiers+
  
 Pour supprimer les acl par défaut : Pour supprimer les acl par défaut :
 +<​code>​setfacl -k repertoire ​         # Suppression juste pour le répertoire</​code>​
  
-    setfacl -k repertoire ​         # Suppression juste pour le répertoire +<​code>​setfacl -R -k repertoire ​      # Suppression pour le répertoire,​ les sous-répertoires</​code>​
-    ​setfacl -R -k repertoire ​      # Suppression pour le répertoire,​ les sous-répertoires+
  
  
doc/systeme/acl.1322858309.txt.gz · Dernière modification: 02/12/2011 21:38 par smolski

Pied de page des forums

Propulsé par FluxBB