Bonjour à tous,
Je suis un nouvel utilisateur de NAS4FREE et débutant. J'ai installé un NAS sur un ordinateur de récupération. Ma configuration est la suivante:
Un seul disque de données (pour le moment) formaté en UFS avec une seule partition,
Actuellement j'ai plusieurs utilisateurs et un groupe famille. Les utilisateurs sont tous dans le groupe famille. Le point de montage donne tous les accès au groupe famille,
J'utilise SSH & CIFS.
Avant de mettre ce NAS en production (pour la famille), je souhaiterai différencier les droits d'accès suivant les utilisateurs.
Je souhaiterai que les enfants ne puisse voir les fichiers des parents par exemple. Il est à priori, impossible d'avoir plusieurs points de montage pour un seul disque. je ne souhaite pas forcément avoir plusieurs partitions, car j'ignore la quantité de données qu'utiliseront les membres de la famille.
Bon week-end.
This is the old XigmaNAS forum in read only mode,
it will taken offline by the end of march 2021!
I like to aks Users and Admins to rewrite/take over important post from here into the new fresh main forum!
Its not possible for us to export from here and import it to the main forum!
it will taken offline by the end of march 2021!
I like to aks Users and Admins to rewrite/take over important post from here into the new fresh main forum!
Its not possible for us to export from here and import it to the main forum!
Gestion des droits d'accès sur un seul disque
Moderators: velivole18, ernie, mtiburs
-
stephane22300
- NewUser
- Posts: 2
- Joined: 09 Dec 2017 22:06
- Status: Offline
-
mtiburs
- Forum Moderator
- Posts: 951
- Joined: 09 Aug 2012 23:34
- Location: France - Besançon
- Status: Offline
Re: Gestion des droits d'accès sur un seul disque
Bonjour,
Est-ce que vous avez essayé de faire un groupe (famille), et des utilisateurs: parents, enfants ?
Avez-vous crée un groupe et des utilisateurs ?
Je ne suis pas très à l'aise avec les droits en cifs, mais je suppose que çà doit "suivre" les droits Unix.
Sinon, il est possible de passer par un moyen altenatif aux droits, les liens symboliques, par exemple, faire:
- un partage pour les enfants qui pointe dans un répertoire A
- un partage pour les parents qui pointent également sur A mais aussi sur B
l'avantage serait que les enfants ne seront pas embêtés par des demandes d'accès ou des refus.
Est-ce que vous avez essayé de faire un groupe (famille), et des utilisateurs: parents, enfants ?
Avez-vous crée un groupe et des utilisateurs ?
Je ne suis pas très à l'aise avec les droits en cifs, mais je suppose que çà doit "suivre" les droits Unix.
Sinon, il est possible de passer par un moyen altenatif aux droits, les liens symboliques, par exemple, faire:
- un partage pour les enfants qui pointe dans un répertoire A
- un partage pour les parents qui pointent également sur A mais aussi sur B
l'avantage serait que les enfants ne seront pas embêtés par des demandes d'accès ou des refus.
Serveur Intel bi-Xéon P5530 / 8 X Ubuntu Serveur 18.04 LTS - ZFS-BTRFS-bcache / ~30 x PI2b(ARM) sous Nas4Free / et ...(chhhut)... 1 seul Xigmanas 
... et pas à jour en plus 
(çà craint)
Conception d'un "système bizarre"
de "super-devices-autonomes" en NFS gérés par des micro-serveurs SAN(+nas) sous N4F (11 super-devs en raidz3) taille actuelle: 16To / prévue: 64To / théorique: 320To (consommation < 15W en veille - 24/24h) en service depuis 2 ans.
... et pas à jour en plus (çà craint)Conception d'un "système bizarre"
de "super-devices-autonomes" en NFS gérés par des micro-serveurs SAN(+nas) sous N4F (11 super-devs en raidz3) taille actuelle: 16To / prévue: 64To / théorique: 320To (consommation < 15W en veille - 24/24h) en service depuis 2 ans.-
velivole18
- Forum Moderator
- Posts: 647
- Joined: 14 Jul 2012 20:23
- Location: France
- Status: Offline
Re: Gestion des droits d'accès sur un seul disque
Bonjour,
J'ai résolu votre problème (car j'avais le même) en paramétrant en mode console sous Nas4Free en administrateur les droits unix de façon appropriée, exactement comme on le fait lorsque l'on veut paramétrer les droits pour des utilisateurs Unix.
Donc la logique à appliquer est celles des groupes et des users.
Ensuite 2 cas (pour moi) : postes clients linux et postes clients Windows.
Dans les 2 cas, il faut respecter une obligation : l'homogénéïté des id des users et groupes entre postes clients et serveur Nas4Free.
Il faut donc exactement les mêmes id des users de Nas4Free et des users Windows et Linux. Il en est de même pour les groupes.
Ensuite la logique des droits s'applique naturellement.
Le plus difficile, mais ceci n'est pas spécifique à Nas4Free est de bien réfléchir à une logique d'accès d'après les users et les groupes.
Aussi, j'utilise beaucoup le sticky bit qui permet de créer des fichiers dans un répertoire en forçant le groupe d'appartenance. (2660 par ex.).
Il faut donc en 1er lieu déclarer les users et groupes de Nas4Free correspondant à la logique mise en place et à l'ensemble des utilisateurs potentiels (et ne plus y toucher). Et à chaque installation d'un nouveau poste client, il faut bien sûr maîtriser les id déclarés des users et groupes en les mettant aux mêmes valeurs que celles déclarées sur Nas4Free (éviter 1000 qui est en général sous linux le 1er user d'office).
En l'absence d'un AD server ou d'un Ldap, c'est la seule solution que j'ai trouvée.
Aussi, pour blinder la solution, je passe chaque nuit un script sur Nas4Free qui vérifie et éventuellement remet d'aplomb tous les droits sur l'ensemble de mon Nas. Ce n'est pas très long et "ça ne mange pas de pain" comme dit.
Cordialement.
J'ai résolu votre problème (car j'avais le même) en paramétrant en mode console sous Nas4Free en administrateur les droits unix de façon appropriée, exactement comme on le fait lorsque l'on veut paramétrer les droits pour des utilisateurs Unix.
Donc la logique à appliquer est celles des groupes et des users.
Ensuite 2 cas (pour moi) : postes clients linux et postes clients Windows.
Dans les 2 cas, il faut respecter une obligation : l'homogénéïté des id des users et groupes entre postes clients et serveur Nas4Free.
Il faut donc exactement les mêmes id des users de Nas4Free et des users Windows et Linux. Il en est de même pour les groupes.
Ensuite la logique des droits s'applique naturellement.
Le plus difficile, mais ceci n'est pas spécifique à Nas4Free est de bien réfléchir à une logique d'accès d'après les users et les groupes.
Aussi, j'utilise beaucoup le sticky bit qui permet de créer des fichiers dans un répertoire en forçant le groupe d'appartenance. (2660 par ex.).
Il faut donc en 1er lieu déclarer les users et groupes de Nas4Free correspondant à la logique mise en place et à l'ensemble des utilisateurs potentiels (et ne plus y toucher). Et à chaque installation d'un nouveau poste client, il faut bien sûr maîtriser les id déclarés des users et groupes en les mettant aux mêmes valeurs que celles déclarées sur Nas4Free (éviter 1000 qui est en général sous linux le 1er user d'office).
En l'absence d'un AD server ou d'un Ldap, c'est la seule solution que j'ai trouvée.
Aussi, pour blinder la solution, je passe chaque nuit un script sur Nas4Free qui vérifie et éventuellement remet d'aplomb tous les droits sur l'ensemble de mon Nas. Ce n'est pas très long et "ça ne mange pas de pain" comme dit.
Cordialement.
11.2.0.4 - Omnius (revision 6026) x64-embedded
111909 RSDT1411 AMD Athlon(tm) 64 Processor 4000+ 4096MiB RAM - HDD 2 x 6 To in ZFS mirroring + 2 x (2 x 4To in ZFS mirroring) - SSD 32Go - UPS EATON Ellipse MAX 1100.
111909 RSDT1411 AMD Athlon(tm) 64 Processor 4000+ 4096MiB RAM - HDD 2 x 6 To in ZFS mirroring + 2 x (2 x 4To in ZFS mirroring) - SSD 32Go - UPS EATON Ellipse MAX 1100.
-
stephane22300
- NewUser
- Posts: 2
- Joined: 09 Dec 2017 22:06
- Status: Offline
Re: Gestion des droits d'accès sur un seul disque [RÉSOLU]
Velivole18,
SI je comprends bien en mode console je change simplement pour mes répertoires, le propriétaire et le groupe avec un chown moi:epouse notre_repertoire . Je règle les droits pour le propriétaire et le groupe avec un chmod 750. À priori assez simple, dommage que ne puisse le faire directement depuis l'interface W3. Enfin, cela reste un super projet, simple & rapide à installer.
Merci
Bonne soirée
SI je comprends bien en mode console je change simplement pour mes répertoires, le propriétaire et le groupe avec un chown moi:epouse notre_repertoire . Je règle les droits pour le propriétaire et le groupe avec un chmod 750. À priori assez simple, dommage que ne puisse le faire directement depuis l'interface W3. Enfin, cela reste un super projet, simple & rapide à installer.
Merci
Bonne soirée
Stéphane
-
velivole18
- Forum Moderator
- Posts: 647
- Joined: 14 Jul 2012 20:23
- Location: France
- Status: Offline
Re: Gestion des droits d'accès sur un seul disque
Bonsoir,
Oui effectivement il faut appliquer une politique avec les droits unix qui correspondent à ce que l'on désire.
Je regrette effectivement depuis toujours que cela ne soit pas intégrer à l'interface web de Nas4Free.
Pour ma part, j'ai un login "su" avec le groupe "wheel" et j'ai droit à tout sur mon NAS.
Chaque personne peut avoir son répertoire perso (son $HOME en quelque sorte) avec un accès limité au login.
Pour la famille j'ai fait un groupe "grp-famille". Chacun d'entre nous appartient au groupe "grp-famille", y compris moi-même.
Tous ceux qui appartiennent au groupe "grp-famille" partage les répertoires taggés "rw" au niveau du groupe avec le groupe "grp-famille", et ce quelque soit leur login.
Pour les répertoires qui me sont propre, ils sont taggés "su;wheel" et de ce fait les autres membres de la famille ne peuvent y avoir accès (ils ne sont pas dans le groupe "wheel").
Pour les répertoires taggés "login:grp-famille", ils sont affublés du sticky bit sur le groupe (2 devant les droits rwx) ce qui fait que chaque création de fichier aura comme groupe le groupe du répertoire père, c'est à dire "grp-famille" par ex. (même démarche pour mes répertoires perso avec "wheel").
On peut aussi faire un répertoire dans lequel vous avez le droit en écriture et dans lequel vous mettez des choses à disposition de la famille, alors que la famille n'a qu'un droit en lecture, avec le login/groupe "su:grp-famille" et un droit en 2740 (papiers administratifs par ex.). Cela limite beaucoup le risque d'accidents en interdisant les suppression par mégarde (sauf pour vous-même évidemment).
De plus au niveau zfs, j'ai fait un volume pour moi seul et un volume pour la famille, ce qui clarifie les choses.
De la même façon, on affine les droits sur des répertoires particuliers pour chacun.
Comme en entreprise, la politique des droits se réfléchit avant et je conseille de réaliser ceci avant d'avoir trop de données.
Surtout bien penser à homogénéïser les id entre serveur NAS et postes clients.
Les tests sont indispensables avant une mise en production tout simplement dans un 1er teps en se connectant sous le login d'une personne sur le NAS en mode console et en testant les accès et les créations de fichiers.
Si les tests sont OK, on peut ensuite recetter avec les postes clients.
Je précise que pour les postes clients linux je monte les répertoires du serveur en NFS et pour les postes clients Windows (
beurk ...) j'utilise CIFS.
Mon poste perso étant un poste linux, je n'ai pas besoin d'exporter mon répertoire perso en CIFS. Ca aide aussi pour limiter l'accès aux postes Windows.
Donc il faut réviser la gestion des droits linux et faire preuve d'imagination pour les adapter à ce que l'on veut mettre en place.
Il existe plein de tutos et de cours sur internet concernant la gestion des droits.
Pour ma part cela fait des années que cela fonctionne et je n'y touche plus.
Cordialement.
Oui effectivement il faut appliquer une politique avec les droits unix qui correspondent à ce que l'on désire.
Je regrette effectivement depuis toujours que cela ne soit pas intégrer à l'interface web de Nas4Free.
Pour ma part, j'ai un login "su" avec le groupe "wheel" et j'ai droit à tout sur mon NAS.
Chaque personne peut avoir son répertoire perso (son $HOME en quelque sorte) avec un accès limité au login.
Pour la famille j'ai fait un groupe "grp-famille". Chacun d'entre nous appartient au groupe "grp-famille", y compris moi-même.
Tous ceux qui appartiennent au groupe "grp-famille" partage les répertoires taggés "rw" au niveau du groupe avec le groupe "grp-famille", et ce quelque soit leur login.
Pour les répertoires qui me sont propre, ils sont taggés "su;wheel" et de ce fait les autres membres de la famille ne peuvent y avoir accès (ils ne sont pas dans le groupe "wheel").
Pour les répertoires taggés "login:grp-famille", ils sont affublés du sticky bit sur le groupe (2 devant les droits rwx) ce qui fait que chaque création de fichier aura comme groupe le groupe du répertoire père, c'est à dire "grp-famille" par ex. (même démarche pour mes répertoires perso avec "wheel").
On peut aussi faire un répertoire dans lequel vous avez le droit en écriture et dans lequel vous mettez des choses à disposition de la famille, alors que la famille n'a qu'un droit en lecture, avec le login/groupe "su:grp-famille" et un droit en 2740 (papiers administratifs par ex.). Cela limite beaucoup le risque d'accidents en interdisant les suppression par mégarde (sauf pour vous-même évidemment).
De plus au niveau zfs, j'ai fait un volume pour moi seul et un volume pour la famille, ce qui clarifie les choses.
De la même façon, on affine les droits sur des répertoires particuliers pour chacun.
Comme en entreprise, la politique des droits se réfléchit avant et je conseille de réaliser ceci avant d'avoir trop de données.
Surtout bien penser à homogénéïser les id entre serveur NAS et postes clients.
Les tests sont indispensables avant une mise en production tout simplement dans un 1er teps en se connectant sous le login d'une personne sur le NAS en mode console et en testant les accès et les créations de fichiers.
Si les tests sont OK, on peut ensuite recetter avec les postes clients.
Je précise que pour les postes clients linux je monte les répertoires du serveur en NFS et pour les postes clients Windows (
beurk ...) j'utilise CIFS.Mon poste perso étant un poste linux, je n'ai pas besoin d'exporter mon répertoire perso en CIFS. Ca aide aussi pour limiter l'accès aux postes Windows.
Donc il faut réviser la gestion des droits linux et faire preuve d'imagination pour les adapter à ce que l'on veut mettre en place.
Il existe plein de tutos et de cours sur internet concernant la gestion des droits.
Pour ma part cela fait des années que cela fonctionne et je n'y touche plus.
Cordialement.
11.2.0.4 - Omnius (revision 6026) x64-embedded
111909 RSDT1411 AMD Athlon(tm) 64 Processor 4000+ 4096MiB RAM - HDD 2 x 6 To in ZFS mirroring + 2 x (2 x 4To in ZFS mirroring) - SSD 32Go - UPS EATON Ellipse MAX 1100.
111909 RSDT1411 AMD Athlon(tm) 64 Processor 4000+ 4096MiB RAM - HDD 2 x 6 To in ZFS mirroring + 2 x (2 x 4To in ZFS mirroring) - SSD 32Go - UPS EATON Ellipse MAX 1100.