Besoin d'aide ACL et accès à un sous-dossier

[Campana]

Bonjour à tous,

j'aurais besoin d'un peu d'aide pour la gestion des acl sur mon ds212j qui tourne sur la dernière version de dsm 5.2.

Voilà j'ai un dossier partagé (on va l'appeler "Partage") qui contient un tas de dossiers et sous-dossiers. Je voulais donner l'accès à un utilisateur uniquement à un des dossiers (on va l'appeler "Test"). J'ai bien compris que c'était impossible sans activer la gestion des acl. C'est fait. J'ai bien donné le droit d'accès à ce dossier "Test" mais l'utilisateur ne peut pas y accéder sans que je lui donne droit d'accès à tout le dossier "Partage". Mais dans ce cas l'utilisateur a accès à tout... J'ai essayé en décochant "inclure les autorisations pouvant être héritées du parent de cet objet". Mais c'est pareil. J'ai soit accès à tout (Test et Partage), soit à rien. 

Quelque chose m'échappe. Si quelqu'un peut m'éclairer.

Merci d'avance.

[Fenrir]

Exemple avec 4 dossiers :

• /partage/comptes/toto
• /partage/comptes/titi

Pour que toto puisse accéder à son dossier, il doit pouvoir entrer dans partage ET dans comptes, mais rien n'impose de lui laisser le droit d'aller dans titi ou de modifier le contenu de compte et ou de partage.

Pour faire une analogie : comment veux tu entrer dans ta cuisine si tu ne peux pas entrer dans ta maison ?

[oliviervdb]

Tu peux faire des dossiers partagés pour Titi et toto. et c'est bcp plus simple pour la gestions de droits.

[Campana]

Bonjour, et merci de m'avoir répondu.

J'ai peur de pas être beaucoup plus avancé malheureusement.

"Tu peux faire des dossiers partagés pour Titi et toto. et c'est bcp plus simple pour la gestions de droits." > c'est la première idée que j'ai eu mais on ne peut pas faire de dossier partagé à partir d'un sous-dossier d'un dossier partagé existant. Alors ça veut dire recréer un dossier, transférer les fichiers et modifier les droits et les accès (les chemins) pour tous les utilisateurs (les utilisateurs qui auront besoin d'accéder à tout devront se connecter à plusieurs dossiers partagés). Ça va pour un dossier, mais si je veux faire ça avec une dizaine de sous-dossiers ça va vite être lourd à utiliser je pense.

" Pour que toto puisse accéder à son dossier, il doit pouvoir entrer dans partage ET dans comptes ". Justement je voulais que toto puisse pas aller dans partage et dans comptes, mais juste dans le dossier toto, je pensais que les acl permettaient ça. J'aurais voulu créer un lecteur réseau sur la machine de toto qui monte juste le dossier "toto", sans qu'il ait le droit d'accéder aux dossiers de plus haut niveau (comptes et partage). On y arrive avec un simple partage de fichiers sous windows, je pensais que le syno permettait ça, ou alors je me mélange vraiment les pinceaux (ce qui est très possible) ;)

Merci de vos lumières en tout cas.

[TaumB]

Salut,

 

J'ai cherché il y a peu de temps, et j'ai réussi à ce que le compte puisse "traverser" les dossiers sans rien voir de ce qu'il y dedans pour arriver au dossier qui lui est autorisé...j'ai pas mal tâtonné mais j'ai appliqué les droits des dossiers de la façon dont le montre la capture ci jointe : 

 

[Campana]

Merci de vos réponses.

Pour le moment la seule solution que j'ai trouvé c'est de donner l'accès au dossier partagé à l'utilisateur. Puis de créer des autorisations de type "refuser" sur tous les sous-dossiers sauf celui auquel il doit accéder.

C'est lourd, ça oblige à faire ça sur chaque dossier se trouvant à la racine du partage (et il y en a un certain nombre, si j'avais su ça dès le début j'aurais organisé l'arborescence différemment). Et puis ça veut dire que si demain un utilisateur qui en a le droit crée un nouveau dossier à la racine du partage, il faudra penser à aller refuser l'accès à certains utilisateurs.

On peut pas tout interdire par défaut et autoriser juste le dossier souhaité. Mais plutôt autoriser l'accès à tout le dossier partagé puis interdire petit à petit chaque dossier...

[Fenrir]

Il y a 10 heures, Campana a dit :

On y arrive avec un simple partage de fichiers sous windows

Tu peux aussi y arriver avec le syno, comme le montre @TaumB

Tout ce que j'ai dit, c'est que si toto ne peux pas entrer (même sans rien voir) dans les dossiers parents, il va être coincé dehors

Il y a 4 heures, Campana a dit :

On peut pas tout interdire par défaut et autoriser juste le dossier souhaité. Mais plutôt autoriser l'accès à tout le dossier partagé puis interdire petit à petit chaque dossier...

La bonne pratique c'est :

1. on interdit tout par défaut => on ne donne aucun droits ou on les supprime tous (en fonction de ce qui est par défaut)
2. on autorise ce qui doit l'être

[Campana]

"La bonne pratique c'est :

1. on interdit tout par défaut => on ne donne aucun droits ou on les supprime tous (en fonction de ce qui est par défaut)
2. on autorise ce qui doit l'être"

Oui je comprends, ce que je veux dire c'est que c'est pas pratique à mettre en place puisqu'on peut pas le faire depuis le dossier partagé principal. On est obligé de donner accès à ce dossier quoiqu'on fasse. Donc ça oblige à gérer les autorisation (interdire tout comme tu dis) depuis les dossiers de niveau inférieur. Si on interdit tout depuis le dossier partagé on ne peut plus rien faire.

1. donc j'aurais voulu interdire tout à toto en ne lui donnant pas accès au partage

2. puis autoriser juste l'accès au dossier "toto"

En pratique j'ai essayé ça marche pas. Je dois donner l'accès au partage à toto, puis lui interdire l'accès à tous les dossiers à la racine du partage (et il y en a beaucoup) et ne lui donner le droit qu'au dossier voulu.

Et si demain un utilisateur ayant tous les droits crée un nouveau dossier, il faut que je veille à gérer les droits dessus aussi (pour interdire toto), donc toujours surveiller l'arborescence. En tout cas ce qui se passe à la racine du partage...

En tout cas merci de t'être intéressé à mon problème.

 

[Fenrir]

Il y a 6 heures, Campana a dit :

En pratique j'ai essayé ça marche pas. Je dois donner l'accès au partage à toto, puis lui interdire l'accès à tous les dossiers à la racine du partage (et il y en a beaucoup) et ne lui donner le droit qu'au dossier voulu.

@TaumB t'as donné la méthode

1. on créer le partage
   1. on place les droits nécessaires pour les utilisateurs
   2. pour le compte toto, on choisi Custom
      • on lui donne les droits nécessaires pour traverser le dossier et atteindre la cible
2. on créé le dossier auquel il doit avoir accès dans le partage
   • on lui donne les droits dessus

[Campana]

Bonjour,

oui effectivement j'avais mal mis en place la procédure de TaumB (que je remercie chaleureusement). C'est encore la meilleure solution puisqu'elle permet de ne plus se soucier des futurs dossiers créés par les autres utilisateurs, et évite de devoir gérer les permissions dossier par dossier. Je précise que, pour arriver au résultat que je voulais, j'ai aussi décoché les droits d'écriture sur le dossier partagé principal pour ne garder finalement que ça :

 

Voilà, dans cette configuration l'utilisateur voit quand même les dossiers qui sont à la racine du dossier partagé, mais ne peut ouvrir aucun fichier ou sous-dossier, ni créer/supprimer quoi que ce soit en dehors du dossier sur lequel on lui donne explicitement les droits.

Donc merci à tous pour votre aide. Pour moi le sujet est clos.

Je reste quand même un peu sur ma faim par rapport à la gestion des droits sur Syno, c'est pas aussi intuitif ou souple que j'avais espéré. Là par exemple le principe de "traverser" des dossiers m'était inconnu. L'idéal dans mon cas aurait été de pouvoir créer un nouveau dossier partagé à partir de n'importe quel dossier/sous-dossier déjà existant, un peu comme on le fait sous Windows.

[TaumB]

C'est clair qu'il faut bidouiller et passer un peu de temps à ce que l'on veut vraiment obtenir comme configuration....