Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Dossier partagé et ACL

patrick5342

Bonjour à tous
Après avoir mis en place un système de volumes logiques sur un PC, nous avons décidé de dédier l'un de ces volumes au travail partagé. Nous avons donc installé une ACL.
C'est très simple à mettre en place, et ça fonctionne très bien pour la création et la modification d'un même fichier par les différents utilisateurs, sous leurs cessions respectives.
Par contre, quand ils copient un fichier dans ce volume logique, le fichier ne prend pas les droits définis par l'ACL, il conserve les droits classiques. Savez vous s'il y a moyen de contourner cette restriction ? :/

kholo

salut,
les ACL sont gérés nativement et systématiquement (maintenant...)
je pense que ça répondra à ta question.. et peut être plus !
pour être plus précis ça se fait avec : setfacl

NB la doc sur les ACL

erresse

Vous pouvez aussi installer une belle interface graphique pour gérer les ACL : "eiciel" (prononcer à l'anglaise "a" "c" "l") qui peut faciliter la compréhension de ces mécanismes complexes de droits...

patrick5342

Bonsoir,
Merci bien pour vos réponses.
Je ne pense pas que ça réponde à la question (sauf si j'ai mal compris) : On parle toujours des fichiers créés dans le volume partagé. On ne parle pas de fichiers créés en dehors du volume partagé, et qui, ensuite, y sont copiés ... ces derniers conservent leurs droits obtenus lors de leur création, et, lors de la copie, ne prennent pas ceux définis par l'ACL ...
Qu'en pensez vous ?

kholo

pour expliquer mon tuto,
je défini le groupe parents à tous les fichiers qui y sont copiés.
ici pour le $HOME (le dossier de l'utilisateur)

le tuto a écrit on défini votre groupe primaire en parents pour partager avec maman

sudo usermod -g parents $USER

...
on règle leur compte aux autres (interdiction complète sur le dossier personnel)

sudo chmod -R o-rwx $HOME

~~[facultatif]~~ et on donne le droit en écriture au groupe primaire

sudo chmod -R g+w $HOME

on met parents en groupe de nos fichiers et dossiers personnels

sudo chgrp -R parents $HOME

la subtilité est dans cette ligne :

sudo usermod -g parents $USER

chaque utilisateur appartient à un groupe du même nom par défaut

utilisateur:utilisateur

là on change le groupe par défaut et on l'applique à tous les utilisateurs du groupe
donc il faut le faire pour chaque utilisateur

sudo usermod -g parents toto
sudo usermod -g parents tata
...

(en adaptant le groupe parents !)
quand chaque utilisateur pose un fichier, il aura le propriétaire du nom de celui qui l'a créé et le groupe de partage

toujours dans mon tuto, je vais plus loin en créant des niveaux qui permettent de limiter plus finement les accès.
ça permet d'avoir une arborescence de partage tout en ayant des niveaux d’accréditation.

patrick5342

Merci pour ta réponse;
Ton cheminement est quand même bien compliqué, et demande de modifier en profondeur les droits et groupes d'utilisateurs.
Je vais rester sur l'utilisation simple des ACL qui, en 2 lignes de code très simples, permettent à plusieurs utilisateurs, sous leur cession, de créer et modifier les mêmes fichiers, sans rien changer aux droits de base. Tant pis pour la copie de fichiers.

erresse

Bonjour,
L'exemple de kholo portant sur le répertoire $HOME, la manœuvre peut en effet sembler complexe...
On peut aussi utiliser les ACL, comme cet article le décrit. C'est aussi un peu prise de tête, mais ça n'entraîne pas la modification des droits et propriétés standard des utilisateurs.
De toute façon, un peu de lecture ne peut pas nuire et je dois avouer que j'ai bien apprécié les explications fournies dans cet article.
Bonne lecture.
🙂

kholo

bizarrement, j'ai appris les ACL en créant un site sur Joomla et en créant une arborescence de droits.
il me fallait créer des dossiers et des utilisateurs qui pourraient aller dans certains dossiers mais pas d'autres et certains dossiers étant partagés.

pour une utilisation des ACL,
je suis parti d'une famille avec papa, maman, petit_gars, petite_fille, un pote et berthe.
pour patrick5342, les partages de petit_gars et petite_fille suffisent...
le travail sur $HOME permet de sécuriser le montage.

pour résumer, ces lignes devraient faire le boulot :
on défini un nom pour le partage

set "partage" # changer pour un autre nom de partage

le dossier et le groupe auront le même nom (mais ça pourrait être différent)

DOSSIER="$1"
GROUP="$1"

on crée le groupe

sudo groupadd $GROUP

on ajoute le groupe à l'utilisateur courant

sudo usermod -a -G $GROUP $USER

on crée le dossier de partage et on défini les droits

cd /media
sudo mkdir $DOSSIER
sudo chown :$GROUP $DOSSIER
sudo setfacl -dRm g:$GROUP:rwx $DOSSIER/
sudo setfacl -dRm 0:--- $DOSSIER

puis, on défini le groupe primaire en partage pour chaque utilisateur qui l'utilisera (adapter <nomUtilisateur>)

sudo usermod -g $GROUP <nomUtilisateur>

reboot pour être sûr que tout est bien pris en compte

quand chaque utilisateur créera un fichier celui ci aura le groupe "partage"
avec les droits en 770 le créateur et le groupe ont les même droits : "rwx"

(je vais valider tout ça dans une VM et je repasserai corriger ou valider...)

erresse

@kholo: L'inconvénient de ta méthode, c'est que tu changes le groupe initial des utilisateurs pour "partage", ce qui est utile pour la gestion du répertoire partagé, certes, mais quid de tous les autres répertoires ? Tout le monde va créer des objets avec le groupe "partage" au lieu de son groupe initial (équivalent à $USER), est-ce que c'est vraiment ce qu'on veut ? Est-ce que ça ne risque pas d'entraîner d'autre problème (si par exemple des droits ont été accordés au groupe initial d'un utilisateur pour permettre l'accès d'un autre utilisateur) ?

kholo

tu veux dire toto appartient au groupe tata de l'utilisateur tata...
mieux vaut justement utiliser des groupes dédiés... non ?
là j'ai simplifié mais
c'est utile pour mettre sur un même plan des utilisateurs avec des droits qui se rejoignent
les parents, les enfants, les amis,... ou la direction, le secrétariat, la compta...
le groupe primaire rassemble des utilisateurs "communs" les groupes secondaires permettent aux membres de groupes supérieurs d'avoir un accès aux membres de groupes inférieurs
car les premiers ont des droits sur les groupes des seconds

papa aura les groupes parents en primaire et amis, enfants,...
maman idem
petit gars aura enfants en primaire et amis
...
pote aura juste amis en primaire et rien d'autre

on comprend vite qui peut aller où...

bruno

Le problème de la copie de fichiers c'est que les droits d'origine et le propriétaire d'origine sont préservés. C'est le comportement par défaut et c'est la norme POSIX. On peut jouer avec le groupes, l'umask, le SGID, etc. cela ne changera rien pour les fichiers copiés.

Je ne vois qu'un seul moyen de contourner le problème, c'est de modifier les droits sur les fichiers après leur copie. Pour cela on peut, par exemple, surveiller les changements dans le dossier avec incron.

erresse

bruno a écritLe problème de la copie de fichiers c'est que les droits d'origine et le propriétaire d'origine sont préservés. C'est le comportement par défaut et c'est la norme POSIX. On peut jouer avec le groupes, l'umask, le SGID, etc. cela ne changera rien pour les fichiers copiés.

Je ne vois qu'un seul moyen de contourner le problème, c'est de modifier les droits sur les fichiers après leur copie. Pour cela on peut, par exemple, surveiller les changements dans le dossier avec incron.

Mais si tu appliques le principe que suggère kholo, les utilisateurs auront tous le même groupe et les fichiers qu'ils créent ou copient auront forcément aussi ce même groupe.
Donc il importe peu que les droit et propriétés soient préservés, dès l'instant où ils autorisent les autres à y avoir accès...

maxire

Salut,

Gros problème avec cette discussion!

Nous ne savons pas quelle(s) règle(s) d'Acls patrick5342 a mise(s) en place ni quel résultat il désire obtenir lors d'une copie de fichier dans son volume logique.

Sans ces informations il est difficile de répondre.

Cependant, tel que j'interprète son besoin, il suffirait de mettre le bit sgid de son répertoire partagé à on avec tous les utilisateurs autorisés à y écrire rattachés au Groupe de ce répertoire et l'affaire est faite!
Nul besoin d'Acl.

kholo

@maxire : si tu peux être plus précis, ça m’intéresse !

patrick5342

Bonsoir,

erresse, à propos du tuto que tu indiques en #7, je l'avais lu. Il avance pas à pas, mais, en résumé il suffit de faire pour chaque utilisateur :
Pour mettre en place l'ACL :
sudo setfacl -R -m u:nom_utilisateur:rwx dossier_a_partager
Pour que les nouveaux fichiers créés héritent des mêmes droits :
sudo setfacl -R -dm u:nom_utilisateur:rwx dossier_a_partager

et ça marche très bien ! 🙂
J'aurais juste voulu en plus que les fichiers copiés sur le dosier à partager héritent "comme par magie" aussi des mêmes droits que ceux créés. 😛

patrick5342

Bruno, je pense que tu as raison, les fichiers copiés dans le répertoire partagé ne prennent pas les droits définis par l'ACL. Seuls les fichiers créés dans ce répertoire les prennent.
Pour les autres, avec les 2 lignes de code du #15 par utilisateur, ils peuvent tous, sous leur cession, créer et modifier tous les fichiers du répertoire partagé. :cool:

patrick5342

Personne n' essayé d’exécuter les 2 ligne du poste #15 (pour chaque utilisateur du partage) ? je trouve ça magique de simplicité !!! 😃

patrick5342

Bonsoir,

Je pense que la réponse de bruno permet de clore le sujet, aussi j'aurais bien mis "résolu", mais je ne sais pas comment faire; Quelqu'un peut m'aider ?

maxire

Salut,

Il n'existe pas de solution dans le cas d'une copie.
C'est au responsable de la copie (logiciel ou humain) de modifier les autorisations d'accès.