Droits de suppression/modification - ACL

[alexarj]

Bonjour,

Je m'arrache les cheveux avec les droits de suppression des fichiers et dossiers (File Station et Windows) :

Dans la FAQ de Synology, il est écrit :

• Supprimer des sous-dossiers et des fichiers: Ceci contrôle si un utilisateur peut supprimer un dossier.
• Supprimer: Ceci contrôle si un utilisateur peut supprimer un fichier.

J'ai créé un utilisateur ATELIER d'un groupe TECHNICIENS.
J'agis en qualité d'administrateur sous File Station pour paramétrer les permissions.
Je n'agis que sur les autorisations du groupe TECHNICIENS.
Les dossiers sont créés par l'administrateur qui en est le propriétaire.
Si je coche seulement la case "Supprimer" (puis OK, puis encore OK) je ne peux plus supprimer de dossier ou de fichier.
Si je coche seulement la case "Supprimer des sous-dossiers et des fichiers", je peux supprimer dossier et fichier.

Cela ne correspond pas à ce que dit Synology.

Il y a-t-il un tutoriel très précis sur les ACL ?
Il y a-t-il un moyen de paramétrer pour permettre le renommage mais pas la suppression ?
Quand un utilisateur crée un dossier sous Windows, il en devient le propriétaire (sans vrais droits de propriétaire), il y a-t-il un moyen que le dossier créé prenne l'administrateur comme propriétaire par défaut ?

Merci d'avance pour vos réponses.

Alexandre
 

 

 

[Fenrir]

Il y a 6 heures, alexarj a dit :

Cela ne correspond pas à ce que dit Synology.

En fait si, mais il faut lire entre les lignes

Tu as bien le droit de supprimer le dossier, mais pas son contenu, donc la suppression du dossier n'est pas possible ...

De manière plus générale, il faut éviter de jouer avec les ACL, surtout si on ne maitrise pas le sujet. En général, il est plus fiable et plus simple de revoir légèrement son organisation et ses méthodes de travail.

Pour ce qui est du propriétaire sous Windows, ce n'est pas possible directement (tu peux faire un script qui corrige les droits après coup) car c'est le comportement de Windows.

=>que souhaites tu faire (pas le comment, mais le quoi)

[alexarj]

Bonjour,

Merci de ton aide. J'ai lu avec attention ton très bon tutoriel sur la sécurité le weekend dernier (et viré tous les Quickconnect, gestion du routeur et compagnie...;-) ).

Petite présentation :
Je suis en train de tester Synology pour remplacer un serveur SBS2011 (Windows Server 2008 + Exchange intégré).
J'ai déjà libéré la partie Exchange en la mettant sur le cloud.
Je gère le DHCP, la partie routeur et le parefeu à travers un routeur (parefeu).
Les sauvegardes sont gérées par Synology à travers Hyper Backup et Hyper Backup Vault : un Synology au bureau et un autre à la maison reliés par la fibre.
Je n'ai donc plus que le serveur de fichiers à traiter.

Comme sur le serveur SBS, j'ai des groupes (Direction/Comptable/Commerciaux/Techniciens) et des utilisateurs (qui ne font partie que d'un seul groupe à la fois pour des raisons de simplification).
Je souhaite donc que :
- chacun accède seulement aux dossiers auxquels il a le droit. 
- les utilisateurs puissent créer et renommer des dossiers (mais pas de les supprimer - c'est le boulot du chef ça ;-) )
- le versionning soit géré (jour par jour au minimum)

J'oublie certainement des trucs, mais le principal est là...

Je ne suis pas pressé par le temps, je teste toute les fonctionnalités et préfère anticiper le maximum de problèmes avant de me lancer dans l'aventure tout Synology...

Merci par avance.

Alexandre

 

 

[Fenrir]

Il y a 3 heures, alexarj a dit :

qui ne font partie que d'un seul groupe à la fois pour des raisons de simplification

Au contraire, en faisant ça tu te compliques la vie car ça veut dire qu'un utilisateur ne peut avoir qu'un seul type de droit => pas flexible, pas évolutif

Je te recommande une structure de droits indépendante de la hiérarchie administrative sinon à la moindre réorganisation tu risques de devoir tout reprendre à zéro.

Il y a 3 heures, alexarj a dit :

- chacun accède seulement aux dossiers auxquels il a le droit. 

Essaye par exemple ceci (pour chaque partage, on créé des groupes portant le nom du partage) :

• partage Direction :
  • groupe grp-Direction-RO (accès en lecture seule)
  • groupe grp-Direction-RW (accès en lecture + écriture)
  • groupe grp-Direction-... (un autre type de droits si besoin)
• partage Comptable :
  • groupe grp-Comptable-RO (accès en lecture seule)
  • groupe grp-Comptable-RW (accès en lecture + écriture)
  • groupe grp-Comptable-... (un autre type de droits si besoin)
• ...

Si le directeur a besoin d'accéder aux dossiers de la compta en lecture, il suffit de le mettre dans le groupe grp-Comptable-RO (en plus de son groupe grp-Direction-RW)

En complément, tu configures les partages pour que les utilisateurs ne voient que ceux auquels ils ont accès (c'est plus clair pour les gens, s'ils voient un dossier c'est qu'ils y ont accès, sinon ils n'ont pas le voir)

Il y a 3 heures, alexarj a dit :

- les utilisateurs puissent créer et renommer des dossiers (mais pas de les supprimer - c'est le boulot du chef ça ;-) )

Ceci n'est pas possible, ou plus précisément pas fiable. Si un utilisateur a le droit de créer et de renommer un dossier il est automatiquement propriétaire de ce dossier, donc il a tous les droits dessus et sur le contenu.

nb : ce dernier point peut varier en fonction de l'outil utilisé pour la création (filestation, ftp, nfs et smb auront des comportements différents), par exemple en SMB, tu ajoutes potentiellement les droits NTFS aux droits SMB, en NFS il s'agit des droits Unix ... donc au final tu as des droits qui partent dans tous les sens

=> il vaut mieux se limiter à un seul système de gestion de droits (si les accès se font principalement en SMB, il faut privilégier les droits NTFS => sur le partage tu mets tous les droits RW à tout le monde en SMB, c'est le NTFS qui sera appliqué)

Éventuellement tu peux créer un système de "dépôt" dans lequel les utilisateurs ne peuvent que déposer des fichiers/dossiers

[alexarj]

Merci pour toutes ces infos, conseils et astuces !!!!
Je vais "digérer" cela ce weekend et repenser la structure.

Concernant les droits SMB, NTFS et NFS : je n'ai coché dans le panneau de configuration que le service SMB.
Je trouve que la différenciation entre droits de partage et droits d'accès est assez floue.
As-tu un tutoriel à me proposer sur le sujet ?
Plus généralement, existe-t-il des cours pour progresser dans ce domaine et de "maitriser" le sujet ?

En tout cas merci encore.

[Fenrir]

Il existe sûrement des tuto et des cours, mais je n'en ai pas sous la main.

Pour essayer de faire simple, de manière générale on peut placer des droits à différents niveaux :

• accès réseau : firewall par exemple (pas seulement ip/port, mais aussi en fonction de l'identité de la personne ou d'autres critères), ces droits ne pas liées aux 2 autres
• partage : c'est géré par le "logiciel serveur", ici il s'agit de SAMBA, c'est à ce niveau qu'est effectuée l'authentification, les règles d'accès sont dans la configuration et ne sont pas liées aux droits des 2 autres
• système de fichier : les droits ne sont plus dans la conf, mais sur les blocs de données, ces droits sont donc modifiables par les postes clients et ne sont pas liés aux droits des 2 autres

=> tu as donc 3 endroits où tu peux appliquer un contrôle d'accès, avec plus ou moins de finesse, comme le niveau le plus fin est le système de fichier, si on commence à avoir des besoins complexes, on place généralement les droits dessus et donc on ne s'occupe pas des droits sur les partages

Par contre, dans la plupart des cas, des droits simples sur les partages sont suffisant, c'est l'option à privilégier 9 fois sur 10, d'où ma proposition de réorganisation

Encore une fois, si les utilisateurs peuvent aussi accéder aux fichiers fia un autre protocole que SMB, par exemple avec FileStation, ce que j'ai indiqué peut ne pas fonctionner, de même, les permissions configurées via FileStation peuvent ne pas s'appliquer, ou pas correctement, aux accès en SMB.

Tout ça, si ce n'est pas 100% maîtrisé, peut créer un grand niveau de complexité, des trous de sécurité et des problèmes d'accès.

Donc encore une fois, essaye de faire des choses simples, même si tu dois faire quelques concessions.

[alexarj]

Merci pour tes réponses.

Ce weekend, j'ai travaillé sur le VPN entre la maison et le bureau, merci d'ailleurs pour ton excellent tuto (notamment l'astuce concernant l'ajout d'une clé dans la base de registre pour les accès derrière un routeur...).

Je vais travailler mes droits le WE prochain (de 4 jours)...