Debian-facile

Tuxuedo

Membre

Inscription : 13-01-2018

Permissions Dossier - Publique - Privé / utilisateurs - groupes

Bonjour

Je révise mes connaissances sur les permissions - utilisateurs - groupes - dossier.
J'aimerai faire une sorte de résumé sous forme d'exercice.

Au final, ce simple exercice est devenu plus compliqué qu'il n'y parait. 
- 1. Sans ACL (Je pense avoir la réponse)
- 2. Avec ACL
- 3. Réaliser le même exercice mais avec un partage Samba

Imaginons un groupe d'utilisateurs contenant [Toto,Titi,Tutu,Tata] -> groupe USERS

1. Créer un Dossier : [Data] qui contient deux sous dossiers [Publique] & [Privé].
2. Créer un groupe USERS qui aurait accès au dossier [Publique] & [Privé]
    - Les utilisateurs ne peuvent pas effacer un fichier ou dossier dont ils ne sont pas le propriétaire.
    - Les utilisateurs peuvent lire et écrire dans les dossiers et fichiers dont ils ne sont pas les propriétaires.
En résumé créer un dossier collaboratif.

3. Chaque utilisateur aurait un dossier avec son nom d'utilisateur [Toto],[...] dans le dossier [Privé].
    - Ils  n'ont pas accès aux autres dossiers.

4. Garder cette structure mais un partager avec Samba.

Première question faut-t'il pour se facilité la tâche créer un groupe d'utilisateurs [Publique] et un groupe [Privé] ?

Merci pour votre aide.
Je vais essayer de mon côté et voir ce que j'obtiens.

Dernière modification par Tuxuedo (10-01-2020 13:02:18)

Tuxuedo

Membre

Inscription : 13-01-2018

Re : Permissions Dossier - Publique - Privé / utilisateurs - groupes

en root:

adduser toto
adduser titi
...
groupadd users
usermod -aG users toto
usermod -aG users titi
...

mkdir /media/sdb1/Data
mkdir /media/sdb1/Data/Private
mkdir /media/sdb1/Data/Public

chmod 777 /media/sdb1/Data/Public
chmod o+t /media/sdb1/Data/Public

chown :users /media/sdb1/Data/Public
chmod g+s /media/sdb1/Data/Public
chmod g+rw /media/sdb1/Data/public #(j'ai du redéfinir les droits car le groupe users n'avait que (r)ead lors de la création de fichier?

 

J'arrive +/- à faire ce que je veux avec le Dossier [Publique] mais le problème c'est qu'il faudrait actualiser les droits après la création de nouveaux fichiers ou dossier.
Ou alors modifier le umask. Le problème c'est que quand je crée un nouveau fichier le groupe ne possède que les droits de lecture. ??
Doit on préciser un parramètre dans le montage du disque ? J'ai mis defaults en option pour le disque ext4.

Dernière modification par Tuxuedo (10-01-2020 14:46:25)

raleur

Membre

Inscription : 03-10-2014

Re : Permissions Dossier - Publique - Privé / utilisateurs - groupes

Ou alors modifier le umask. Le problème c'est que quand je crée un nouveau fichier le groupe ne possède que les droits de lecture.

Oui, umask. Mais il y a un autre problème : le groupe propriétaire des fichiers. Par défaut, c'est le groupe effectif de la session, qui est lui-même par défaut le groupe principal de l'utilisateur. Or Dans Debian, par défaut chaque utilisateur a son propre groupe principal qui a le même nom que l'utilisateur. Pour que des utilisateurs aient un même groupe principal, il faut le spécifier lors de leur création. Sinon, on peut changer le groupe effectif de la session avec newgrp. Ou bien on peut aussi positionner le SGID sur un répertoire avec chmod afin que les fichiers créés dans ce répertoire aient comme groupe propriétaire celui du répertoire.

A mon avis les ACL sont beaucoup plus pratiques à l'utilisation pour ce genre de situation.

---

Il vaut mieux montrer que raconter.

Tuxuedo

Membre

Inscription : 13-01-2018

Re : Permissions Dossier - Publique - Privé / utilisateurs - groupes

Par défaut, c'est le groupe effectif de la session, qui est lui-même par défaut le groupe principal de l'utilisateur. Or Dans Debian, par défaut chaque utilisateur a son propre groupe principal qui a le même nom que l'utilisateur. Pour que des utilisateurs aient un même groupe principal, il faut le spécifier lors de leur création. Sinon, on peut changer le groupe effectif de la session avec newgrp. Ou bien on peut aussi positionner le SGID sur un répertoire avec chmod afin que les fichiers créés dans ce répertoire aient comme groupe propriétaire celui du répertoire.

A mon avis les ACL sont beaucoup plus pratiques à l'utilisation pour ce genre de situation.

Bonjour
Merci pour ta réponse.

Oui, effectivement les ACL simplifient le problème. Pour précisément, c'est une combinaison des deux solutions car j'utilise toujours le sticky bit.
J'ai essayé hier soir et je suis assez proche du résultat que je voudrais obtenir, mais je dois encore creuser cette solution.
Dans le cas de sous dossier par exemple pour que les permissions soit héritées, si c'est possible. SGID ?

J'utilisais effectivement le SGID pour réaliser la première partie de l'exercice mais je n'ai pas réussi exactement ce que je voulais.

Cependant, lorsqu’un fichier est créé dans un répertoire portant le droit SGID, alors ce fichier se verra attribuer par défaut le groupe du répertoire. De plus, si c’est un autre répertoire qui est créé dans le répertoire portant le droit SGID, ce sous-répertoire portera également ce droit.

Comme je l'ai dis il semblerait qu'il faille modifier l'umask par défaut. J'ai peut-être fait une erreur quelque part car il me semblait que ce soit possible sans les acl.

Un autre question, entre les droits Samba et les ACL qui prend la main ?
Je parle ici du fichier de configuration des partages samba où l'on peut spécifier des utilisateurs pour chaque dossiers.

Edit : je viens de trouver ceci:

Les ACL permettent de fixer des droits sur des fichiers et dossiers.
Ils permettent également de définir un héritage des droits sur les dossiers.
Cet héritage de droits fonctionne lorsque de nouveaux fichiers/dossiers sont créés dans le-dit dossier via un client Window$/Samba.

Dernière modification par Tuxuedo (11-01-2020 10:10:17)