Partage Nfs Et Droits Sur Fichiers Non Actifs?

[bac_a_sable]

Bonjour,

Le contexte:

DS213J, DSM mis à jour, avec deux utilisateurs déclarés appartenant au même groupe.

Chaque utilisateur a un répertoire dans lequel se trouvent ses fichiers. Je souhaite que seul l'utilsateur (ormis admin ou root bien évidement: ils ont accès à tout) ai accès à son répertoire et que cela soit interdit aux autres utilisateurs.

Il y a aussi un répertoire commun ou les mebres du groupe ont plein accès.

Dans le panneau de configuration -> dossiers partagés, je sélectionne le répertoire et ouvre "privilèges->Configuration des privilèges"

L'utilisateur "admin" et l'utilisateur propriétaire du répertoire ont la case "lecture/éciture" cochée

L'utilisateur "guest" et l'autre utilisateur ont la case "pas d'accès" cochée"

Il y a bien "privilèges->Privilèges NFS" j'ai déclaré les machines du réseau en lecture/écriture (pas de notion d'utilisateur ici)

Sur chaque machne du réseau (un fixe xp pro et un portable opnesuse), les utilisateurs sont crés et possèdent le même mot de passe.

Sur le fixe (xp), j'accède bien à mon répertoire, le répertoire commun et pas au répertoire de l'autre utilisteur.

Par contre sur le portable qui utilise NFS, j'accède aussi au répertoire de l'autre utilisateur, ce que je ne veux pas.

Ou ai-je raté queqlue chose?

En me loggant par tenet sur le Syno, je vois que les fichiers des utilisateurs (ls -la) sont en rw pour propiétaire, membres du groupe et other (-rwxrwxrwx)

Il ne me faut tout de même pas changer ça "à la sauvage"? (chmod en telnet)

Jean-Charles

[Fravadona]

En fait le chmod est le plus simple pour resoudre ca, mais cela affectera peut-etre les acces reseau a partir de la station XP, a verifier.

Il faut aussi que tes utilisateurs aient le meme UID et GID sur la station Linux que sur le NAS

Modifié le 29 octobre 2013 par Fravadona

[bac_a_sable]

Bonsoir,

effectivement les UID étaient différents pas moyen de les forcer dans le DSM.

Je les ai donc changés coté linux pour être conforme au NAS.

Par contre les GUID je n'ai pas réussi à les faire correspondre: dans le DSM il n'est pas possible de l'imposer (ou du moins je n'ai pas trouvé). Le GUID affecté est 65536.

Coté Linux, il refuse les GUID supérieur à 60000 (c'est bête comme limitation)

J'ai donc toujours le même comportement (et ça m’embêterais d'avoir à faire du chmod en ligne de commande alors que l'interface graphique "devrait" pouvoir résoudre le problème si elle est bien faite)

Edit: si j'ai compris, normalement j’aurais du me retrouver avec les droits de "guest" c'est à dire sans accès du tout alors que la j'ai l'inverse: full accès.

Jean-Charles

Modifié le 28 octobre 2013 par bac_a_sable

[Fravadona]

Essaies tout de meme le chmod ... Perso je ne me suis meme pas pose la question quand j'ai mis en place le partage NFS sur le NAS au boulot, on est jamais mieux servi que par la ligne de commande ^^

[bac_a_sable]

Bon, apparemment je ne suis pas le seul à m'en plaindre:

http://forum.synology.com/enu/viewtopic.php?f=3&t=36539

Je ne tente pas le chmod ce soir: trop crevé; j'ai peur de faire une connerie.

[bac_a_sable]

J'ai avancé: dans "File Station" il est possible de modifier les droits de répertoires et fichiers (clic droit, propriété->permissions.)

Problème: pas possible de la faire sur le répertoire racine du partage. Conséquence, c'est insuffisant.

J'ai du passer par telnet pour modifier sur le répertoire de partage:

- le propriétaire avec chown

- le groupe avec chgrp

- les permissions (chmod 700)

Cela fonctionne bien: le propriétaire fait ce qu'il veux (coté windows et linux) et les autres ne passent pas (sans la dernière manip, n'importe qui pouvait renommer les répertoires )

Reste un dernier problème qui semble insoluble à la vue des forums: le répertoire commun à mes deux utilisateurs. Normalement avec un chmod 770 cela aurait du résoudre le problème; malheureusement pour cela il faut avoir le même group id sur la NAS et sous linux. Sur le NAS, les groupes supplémentaires commencent à 65536 (j'ai essayé de retoucher /etc/group : le group disparait du manager si le numéro est inférieur à 65536) et sous linux le group maxi est 60000 (opensuse 12.3): je suis coincé. Je laisse accessible au group user; ce n'est pas sécuritaire.

Jean-Charles

[Fravadona]

Mon NAS accepte de groupes/utilisateurs avec ID arbitraires en utilisant l'annuaire LDAP d'un de mes serveurs.

Donc tu devrais pouvoir mettre en place un serveur LDAP directement sur le NAS, y creer tes utilisateurs, et l'utiliser pour le NAS. Les stations Linux pourraient aussi l'utiliser (mais autant creer les utilisateurs en local si tu as peu de machines et peu d'utilisateurs).

Pour les chmod et chown, voila les commandes a lancer :

chown -Rh user1:group /volume1/partage_user1
chown -Rh user2:group /volume1/partage_user2
chown -Rh root:group /volume1/partage_commun

find /volume1/{partage_user1,partage_user2} ( -type f -exec chmod 600 {} ; ) -o ( -type d -exec chmod 700 {} ; )
find /volume1/partage_commun ( -type f -exec chmod 660 {} ; ) -o ( -type d -exec chmod 770 {} ; )

Modifié le 29 octobre 2013 par Fravadona

[bac_a_sable]

Merci de ton aide.

J'ai installé Directory Server pour activer le LDAP. A cette occasion j'ai découvert l'utilité du carré en haut à gauche du DSM (je cherchais Diredtory Server dans le panneau e configuration; je n'avais pas conscience qu'il fallait y accéder par ce carré)

J'ai déclaré mes utilisateurs et le groupe. J'ai lancé les commandes que tu donnes.

Cela n'a rien changé coté linux.

Je me suis dit que cela venait peut-être que j'avais encore le groupe commun déclaré hors LDAP: j'ai l'ai viré.

Mes répertoires appartenaient du coup au groupe 65536 (l'ID du groupe que j'ai supprimé) et pas moyen de l'affecter au groupe déclaré dans LDAP (groupe inconnu)

J'ai recréé le groupe (j'ai du reprendre manuellement l'ID dans /etc/group pour lui remettre 65536 au lieu de 65538 qu'il venait de mettre; heureusement je suis à l'aise avec vi)

Bref, j'ai LDAP qui tourne mais je n'ai pas avancé. (je ne connaissait pas LDAP, je découvre à quoi ça pourrait servir)

D'autres pistes?

Jean-Charles

[Fravadona]

Le NAS et les Linux sont bien configures pour utiliser le LDAP ?

On revient en arrière :

- Supprimes tes utilisateurs/groupes (sauf admin) sur le NAS et sur le DirectoryServer

- Crees les a nouveau dans DirectoryServer

- Modifies les ID des utilisateur/groupes en te connectant au LDAP avec ApacheDirectory Studio

-> changes le gidNumber pour les groupes et uidNumber/gidNumber pour les utilisateurs (essaies de mettre des nombres > 1024 et < 10000)

- Configures le NAS pour qu'il utilises le LDAP pour l'authentification

[bac_a_sable]

Le NAS utilise bien le LDAP

panneau de config ->service d'annuaire: le client LDAP pointe bien sur le NAS

Coté linux, j’avoue ma légèreté en connaissance. Je n'ai rien configuré "LDAP". Mes utilisateurs on le même nom et numéro (ID) des deux cotés.

ApacheDirectory studio? Je ne le vois nul part sur le NAS ni dans les paquets. C'est à installer en plus? Comment?

Effectivement, les UID et GID du LDAP ne sont accessibles nul part.

Modifié le 30 octobre 2013 par bac_a_sable

[Fravadona]

ApacheDirectory Studio est a installer sur ton Linux ou Windows ou Mac.

[Fravadona]

============================================================================================================

Creation du Serveur LDAP sur le Syno avec DirectoryServer: j'ai mis example.com mais un truc plus personnel serait souhaitable (par ex. nomdefamille.net ou nomdedomaindeentreprise.fr) :

============================================================================================================

============================================================================================================

Creation d'un groupe commun pour tes deux utilisateurs (ici "tata") :

============================================================================================================

============================================================================================================

Creation des utilisateurs, SEULEMENT membres de "users" (et peut-etre admin ou ope) mais pas de "tata" :

============================================================================================================

============================================================================================================

Creation de la connexion au serveur LDAP avec ApacheDirectory Studio (la premiere chose demandee est bien sur l'IP ou DNS du syno) :

============================================================================================================

============================================================================================================

Modification du gidNumber du groupe "tata" avec ApacheDirectory Studio (1024< gidNumber < 10000) :

============================================================================================================

============================================================================================================

Modification du uidNumber ET gidNumber des utilisateurs (1024< uidNumber < 10000 , et le gidNumber doit correspondre a celui du groupe "tata") :

============================================================================================================

============================================================================================================

Il ne te reste plus qu'a configurer le NAS pour qu'il utilise le LDAP sur localhost, puis modifier les droits de tes partages, puis refaire les chown/chmod, puis faire correspondre les uid/gid des utilisateurs de ta station Linux.

============================================================================================================

Woufff !! C'est tout simple non ?

Modifié le 30 octobre 2013 par Fravadona

[bac_a_sable]

Whaoouuuuuuuuuuuu, ça c'est du mode d'emploi!

Je m'y attèle demain après-midi (à cette heure, je suis naze)

Merci!

Jean-Charles

[Fravadona]

Je decouvre DirectoryStudio sur le Syno, il met des UID/GID superieurs a 1000000 par defaut

[Fravadona]

Je suppose que tout est fonctionne comme tu veux maintenant ?

[bac_a_sable]

Bonjour,

je n'ai pas pris le temps de le faire hier... j'étais "dans le gaz"

Bien entendu je reviens dire ici ce qu'il en est lorsque cela aura avancé.

Jean-Charles

[bac_a_sable]

Bonjour,

manipulation effectuées.

J'ai du adapter le commande chmod donnée plus haut. En effet, elle ne reconnais pas le nom user:group (jc:couple chez moi) et j'ai du replacer par uid:gid (1026:1000 chez moi).

J'obtiens un propriétaire jc@"mondomaine" et un groupe couple@"mondomaine".

Coté windows, cela fonctionne toujours.

Coté linux, j'ai malheureusement le même comportement: impossible d'accéder au groupe commun malgré des id identiques.

Rogntudju!

Edit: je suis une truffe

Javais viré mon utilisateur du groupe sous linux en faisant des essais. En le remettant dans le groupe, j'ai bien le comportement voulu. YES!

J'ai créé un utilisateur bidon qui nappartient pas au groupe: il est bien bloqué en accès.

Merci!!!!

Jean-Charles

Modifié le 3 novembre 2013 par bac_a_sable

[Fravadona]

Bien joué

Maintenant tu dois garder à l'esprit que tu pourras avoir des soucis d'acces sur les fichiers/repertoires du partage "commun", si un utilisateur ne donne pas les droits de lecture/ecriture au groupe pour ses fichiers qu'il y place. Rien de bien mechant mais ca peut arriver.

[bac_a_sable]

C'est un point sur lequel je me suis interrogé.

Le but étant d'utiliser les interfaces graphique Windows (copier/coller ou déplacer) et Linux sans passer par le DSM et File Station.

Je viens de copier un répertoire et son contenu: les personnes du groupe y ont bien un accès complet et le compte test (qui n'appartient pas au groupe) ne passe pas la barrière du répertoire "racine" du partage: je devrais être tranquille.

EN regardant par telnet, le répertoire m’appartient et est affecté au groupe "users" avec les droits pour tout le monde.

Ma mémoire me dit qu'il doit y avoir moyen de forcer le mode par défaut des fichiers dans le configuration utilisateur (umask ???)

[Fravadona]

Les utilisateurs Windows devraient creer des fichiers/repertoires 777 par defaut

Par contre pour les Linux, umask ne fonctionnera que si tu le definis sur le compte de chaque utilisateur.