problème d'accès aux dossiers [résolu]

[jakes]

Bonjour,

J'ai un NAS DS214 et j'ai créé des utilisateurs, des dossiers partagés et des permissions.

Par le VPN tout va bien chaque utilisateur accède bien aux dossiers qui lui sont autorisés.

Mais sur les ordis en réseau local, un peu tout le monde peut ouvrir les dossiers des autres sans identification.

Qu'ai-je pu mal faire ?

Merci d'avance

Modifié le 8 novembre 2015 par jakes

[Fenrir]

Tu as probablement mal géré les droits de tes partages ou les ordis sont connectés avec des comptes qui ont trop de droits.

Pour vérifier :

1. sur le nas, créé 2 utilisateurs : testcompte01 et testcompte02
2. créé 2 partages : testpartage01 et testpartage02
3. applique les permissions suivantes sur les partage (n'utilise pas les permissions avancées ni filestation) :
   1. testpartage1 : testcompte1 accès RW
   2. testpartage1 : testcompte2 accès RO
   3. testpartage2 : testcompte2 accès RW
4. puis test les 4 cas de figure (1->1, 1->2, 2->1 et 2->2)

[jakes]

Merci

J'ai 6 PC en réseau local.

Et 3 utilisateurs avec différentes permissions, les 3 autres ne sont autorisés qu'aux dossiers public, save, share.

J'ai donc créé les 2 utilisateurs que tu me proposes, les 2 dossiers partagés ainsi que les permissions.

Résultat: je ne peux ouvrir ces deux dossiers que sur un des postes qui a des permissions par ailleurs et sur un poste qui n'en a aucune. Et ceci sans aucune identification, j'ouvre directement.

 

[Fenrir]

l'utilisateur avec lequel tu es logué sur ces postes existe il dans le nas (couple login/password)

si oui, vérifie qu'il n'ai pas des droits type admin sur le nas

[jakes]

Oui tout à fait

Les 3 utilisateurs que j'avais créé ont le même couple login/password que la session Windows. Il n'y en a qu'un qui ouvre son dossier partagé; le pb c'est qu'il ouvre tout même les dossiers pour lesquels il n'a pas de permission

Les deux autres n'ouvrent pas leurs dossiers

Et je ne vois rien qui pourrait leur conférer des droits supérieurs.

Modifié le 22 octobre 2015 par jakes

[Fenrir]

Et je ne vois rien qui pourrait leur conférer des droits supérieurs.

Tu as probablement loupé un truc ou tenté de mettre en place des droits trop complexes

Autre possibilité, un compte avec privilège est enregistré sur les pc qui te posent problème

Vérifie ici : Panneau de configuration\Comptes et protection des utilisateurs\Gestionnaire d'identification

Tu peux aussi supprimer l'historique d'IE (les mots de passe réseaux sont dans le trousseau d'IE)

[jakes]

Autre possibilité, un compte avec privilège est enregistré sur les pc qui te posent problème

Vérifie ici : Panneau de configuration\Comptes et protection des utilisateurs\Gestionnaire d'identification

Bonsoir,

Ça se matérialise comment un compte avec privilège ? 

 

Pour IE on ne l'utilise plus depuis longtemps.

Dois-je supprimer l'historique de Chrome et Firefox ?

[Fenrir]

ce que je veux dire, c'est qu'il est possible que le login+password d'un compte du syno qui a des droits soit enregistré sur le poste windows qui t’embête

et si je parle d'IE, c'est juste pour supprimer les login/password réseau enregistrés (IE et l'explorateur windows se partagent plein de choses)

autre façon de faire, change TOUS (y compris celui de l'admin) les mot de passe sur le synology

Modifié le 23 octobre 2015 par Fenrir

[jakes]

Eh bien les comptes du syno qui ont des droits ont pour login+password celui de leur session windows.

Par exemple le compte du syno "compta" a pour password "julie". Le nom du PC utilisé est "compta" et le mdp de la session "julie"

Est-ce que IE enregistre les login+password même si on s'en est jamais servi. Il y a des PC neufs pour lesquels on a installé Chrome à l'installation du PC et on ne s'est jamais servi d'IE si ce n'est pour télécharger Chrome.

[Fenrir]

je ne dis pas que tu as utilisé IE, je dis juste que c'est une méthode simple pour effacer les mdp enregistrés par Windows, mais manifestement ce n'est pas simple à expliquer :)

quoi qu'il en soit, je pense toujours que tu as loupé un truc dans ta gestion de droits :

• compte dans le groupe admin du syno
• dans un groupe qui a trop de droits
• modification des ACL
• utilisation des permissions avancées
• modification des droits avec filestation

Tu peux examiner une partie des droits en ssh avec la commande :

cat /usr/syno/etc/smb.conf

c'est très lisible comme conf, tu devrais t'y retrouver facilement

[jakes]

Ah oui mais là je patauge...je suis juste un débutant et ACL et ssh ça ne me parle pas du tout

Désolé

J'ai des comptes qui n'ont aucune permission et qui ouvrent tout et d'autres qui les ont presque toutes et qui n'ouvrent rien ou peu.

Modifié le 24 octobre 2015 par jakes

[Fenrir]

Je veux bien t'aider, mais à l’aveugle c'est difficile, ton problème peut venir de plein de choses (les pc, les comptes, les groupes, les acl, les permissions avancées, ...).

Un autre test qui devrait t'indiquer si le soucis vient du synology ou des pc :

• sur une des machines, créé un compte utilisateur qui n'existe nul part (ni dans le syno ni sur aucune des machines) et qui n'est pas admin
• test les différents partages depuis ce compte avec chacun des comptes utilisateurs du Synology :
  • n'enregistre aucun mot de passe !!!
  • ferme la session entre chacun des test
• => si tu as encore le soucis : c'est sur le synology que tu as loupé des droits
• => si tu n'as plus le soucis : c'est sur les pc qu'il y a un problème (login+mdp enregistré)

----

Je peux aussi te proposer la solution brutale : reset du synology => https://www.synology.com/fr-fr/knowledgebase/tutorials/493#t3

Mais c'est un peu radical pour un simple problème de droits et si le pb vient des pc ça ne changera rien

Modifié le 24 octobre 2015 par Fenrir

[jakes]

J'ai bien conscience que je ne donne pas beaucoup d’éléments pour avoir une aide ciblée.

Mais j'ai déjà du mal à comprendre tout ça.

Je te remercie beaucoup d'essayer de me guider, je l’apprécie sincèrement.

Je crois quand même que je comprends ton dernier message et que je peux mettre en oeuvre ce que tu me proposes (mais pas le reset ! lol)

J'aurai accès aux PC lundi, je ne manquerai pas de revenir ici pour donner des nouvelles.

Bon week-end

[jakes]

Bonsoir,

Je viens de faire l'expérience sur un PC

Ce PC, sans mot de passe à la session admin, ouvre tout sans connexion, y compris les fichiers testpartage1 et 2

J'ai créé un compte utilisateur non admin.

Cette session respecte les permissions du syno, mais n'ouvre pas les testpartage

Si j'ai bien compris les pb sont sur les PC 

 

[Fenrir]

Si j'ai bien compris les pb sont sur les PC 

oui

tu peux commencer par changer le mdp admin du syno, ça suffira peut être

[jakes]

Non ça n'y a rien fait

Par contre par le VPN les permissions sont respectées

[Fenrir]

tu n'aurais pas un groupe sur tes pc avec le même nom qu'un groupe du syno ?

[jakes]

Je n'ai aucun groupe sur le syno

Le PC que j'ai testé héberge la base de données (MySQL) d'un logiciel qui est partagé par tous les autres PC sur le réseau local.

Quand j'ai eu le NAS j'ai installé cette base sur le NAS en réseau local. C'était un des buts du NAS. Mais les temps de transactions étaient très longs et j'ai remis la base sur le PC.

Ça pourrait avoir une incidence ?

 

 

 

[Fenrir]

je ne pense pas qu'il y ait un lien avec la base sql

tu n'aurais pas ajouté des autorisation sur IP (je ne parle pas du firewall)

[jakes]

Non pas du tout, c'est au delà de mes compétences !

Et depuis aujourd'hui un de mes postes n'ouvre plus le dossier public où il n'y a jamais eu de protection ! J'ai vérifié, rien de bloquant dans le syno

C'est le compte admin du poste où j'ai fait le test que tu m'as proposé samedi (sur le compte pas admin que j'ai créé)

Je n'y comprends plus rien !

[Fenrir]

1. supprime les mot de passe enregistrés sur les postes
2. change les mdp de tous les comptes du syno
3. test

[jakes]

certains postes n'ouvraient plus public

il était demandé un mot de passe de connexion dans un dossier qui n'en a jamais eu

Seul le mdp admin du NAS ouvrait

J'ai remis l'ancien mdp et tout le monde peut ouvrir à nouveau sans mdp.

Je ne vois pas en quoi de changer le mdp admin influe sur l'ouverture d'un dossier non protégé...

Je vais me faire aider pour changer tous les mdp, J'ai peur de tout planter...

Merci de ton aide

Modifié le 28 octobre 2015 par jakes

[Fenrir]

as tu essayé de supprimer le cache d'IE (je sais, j'insiste), en particulier les mdp enregistrés, même chose dans le gestionnaire de pass : http://windows.microsoft.com/fr-fr/windows7/store-passwords-certificates-and-other-credentials-for-automatic-logon

 

[jakes]

J'ai supprimé le cache sur un ordi.

Mais je m'absente jusqu'à lundi. J'irai le faire sur les 5 autres ordis.

Encore merci et bon we

[jakes]

Bonsoir,

J'ai supprimé le cache d'IE sur tous les postes du réseau. Ça n'a rien changé...

Pour le gestionnaire de pass, à  Adresse Internet ou réseau je mets le NAS ? DS-01 ?