10.5 SMB héritage permissions ?

Le
J.P. Poindessault
Bonsoir,

OS X 10.5.4 server, nous avons un problème d'affectation des permissions
lorsqu'un fichier est déposé dans un partage à partir de Windows.

Dans Server Admin/File sharing/ <le point de partage>/Sharepoint/Protocol
options/SMB (Ouf on dirait du Windows !)
"Inherit permissions est coché"

Soit User1 qui dépose dans le dossier dont User2 est propriétaire: User1 reste
propriétaire de son fichier.

En regardant mes notes de 10.3.2 de 2004, le changement de propriétaire ne se
faisait déjà pas.
Rien de changé ?

Quelle est la recette pour transférer la propriété ainsi que les permissions
Groupe et Autres ?

Merci

Jean-Pierre
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas-Michel_REMOVE
Le #17444121
J.P. Poindessault
Bonsoir,



Salut

OS X 10.5.4 server, nous avons un problème d'affectation des permissions
lorsqu'un fichier est déposé dans un partage à partir de Windows.

Dans Server Admin/File sharing/ <le point de partage>/Sharepoint/Protocol
options/SMB (Ouf... on dirait du Windows !)
"Inherit permissions est coché"



Tu as mis le "inherit" au niveau samba ou au niveau du file system ?
Les 2 sont possible.

Sur win, on ne travaille généralement qu'au niveau du file system.
Et que avec des groupes. Pour chaque type d'accès on crée un groupe
Est-ce que ce n'est pas également conseillé sur mac ?
A vue de nez, je dirais oui. Sinon ça devient ingérable amha.
Surtout si tu partage le même dossier avec plusieurs protocoles.

Soit User1 qui dépose dans le dossier dont User2 est propriétaire: User1 reste
propriétaire de son fichier.



Avec un inherit au niveau du file sharing, ça me semble normal.
Sauf erreur les ACL passent devant les permissions posix.
Donc si tu as un inherit sur le groupe tu peux bien avoir le owner que
tu veux, c'est égal. A part peut-être pour les quota, ça je ne pratique
pas.

Si tu travailles au niveau de smb.conf, il y a des option autant pour
les permissions posix que pour les ACL. Là tu peux faire en sorte que le
owner des fichiers soit fixé d'après le share, pas d'après le user.

En posix, tu peux mettre par exemple :
inherit owner (S)
inherit permissions (S)

Et au niveau ACL, tu as également diverses options :
inherit acls (S)
acl check permissions (S)
...


En regardant mes notes de 10.3.2 de 2004, le changement de propriétaire ne se
faisait déjà pas.
Rien de changé ?



Si, je penses qu'on pouvait déjà le faire dans le smb.conf.
Par exemple avec un "force user = toto".

Ce qui a changé depuis Mac OS X 10.3, c'est les ACL.
Tu peux à présent gérer ces problèmes de façon propre au niveau du file
system.

Quelle est la recette pour transférer la propriété ainsi que les permissions
Groupe et Autres ?



Bon, déjà je bosse beaucoup en cli.
Par exemple un bon gros :
chown -R root:wheel /Path/du/sharepoint
chmod -R -N /Path/du/sharepoint
Va remettre les accès à zero, ce qui est un très bon début.

Ensuite je crée un groupe par type d'accès et par share dans le
WorkgroupManager.

Ensuite j'attribues les permissions souhaitées à ce groupe au niveau du
share.
Je fais un share par type d'accès, pour simplifier.
Donc je ne vais jamais trafiquer des droits d'accès ailleur que sur les
point de partage.

A noter qu'en CLI, lire les permissions me parait plus simple qu'en GUI.
ls -laed /Path/du/sharepoint
Par contre pour attribuer des ACL, la GUI l'emporte en simplicité, amha.

Bon, que les guru me corrigent si j'ai dit des bourdes, oeuf corse.
Hop
--
Nicolas Michel
J.P. Poindessault
Le #17444971
In article (Michel Nicolas Alex) wrote:

...........

Merci Nicolas.
De ce que tu écris, je retiens surtout que les ACL passent avant le POSIX.
comme je n'ai rien défini au niveau des ACL, effectivement le reste peut laisser
à désirer.
Ce qui m'étonne quand même c'est que lors de la copie d'un fichier ou d'un
dossier dans un share, ni le GUI de Server Admin, ni le Get Info ne m'affichent
des permissions cohérentes avec ce que j'attends. d'ailleurs les deux (S Admin
et Get Info) ne sont pas toujours d'accord sur le statut des permissions.
en gros c'est le souk.

Le pire, c'est que le INHERIT qui marchait fort bien en AFP sous 10.3.9 zozotte
lui aussi !

de nouveau, passer par la CLI, OK, je le fais, mais à quoi bon le clicodrome
s'il ne sert à rien !

Jean-Pierre
Nicolas-Michel_REMOVE
Le #17446111
J.P. Poindessault
In article (Michel Nicolas Alex) wrote:

...........

Merci Nicolas.
De ce que tu écris, je retiens surtout que les ACL passent avant le POSIX.



J'avais un doute, donc je viens de tester et oui :
si tu as les droits avec des ACL mais pas avec les permissions POSIX, ça
passe.


# mkdir tests
# chown namichel:wheel test
# chmod 000 test
# chmod +a "namichel allow
delete,readattr,writeattr,readextattr,writeextattr,readsecurity,writesec
urity,chown,list,search,add_file,add_subdirectory,delete_child,file_inhe
rit,directory_inherit" test
# ls -laed test
d---------+ 2 namichel wheel 68 Oct 7 12:19 test
0: user:namichel allow
list,add_file,search,delete,add_subdirectory,delete_child,readattr,write
attr,readextattr,writeextattr,readsecurity,writesecurity,chown,file_inhe
rit,directory_inherit
# touch test/qq
# ls test
qq


comme je n'ai rien défini au niveau des ACL, effectivement le reste peut
laisser à désirer. Ce qui m'étonne quand même c'est que lors de la copie
d'un fichier ou d'un dossier dans un share, ni le GUI de Server Admin, ni
le Get Info ne m'affichent des permissions cohérentes avec ce que
j'attends. d'ailleurs les deux (S Admin et Get Info) ne sont pas toujours
d'accord sur le statut des permissions. en gros c'est le souk.



Depuis que Mac OS X existe, les permissions de fichiers en GUI c'est
nimportenawak. Déjà, ils ont "oublié" le eXecute POSIX.
Donc pour être sûr des permissions, je passe toujours par la cli,

Note que sur Mac OS X Server, dans Server Admin, les manipulation d'ACL
sont plutôt potables. Mais faut les trouver :)

Le pire, c'est que le INHERIT qui marchait fort bien en AFP sous 10.3.9
zozotte lui aussi !



De toutes façon ce genre de solution n'est pas fiable :
Ton inherit au niveau du service n'aura aucun effêt si tu accède tes
fichiers en local, en ssh, en ftp, en nfs, en webdav ou que sais-je.

Si tu pose les ACL qui vont bien, ça marche partout, AFP compris.

de nouveau, passer par la CLI, OK, je le fais, mais à quoi bon le
clicodrome s'il ne sert à rien !



Dösolé, je connais très mal Mac OS X Server.
Je présume que tu peux tout faire en GUI mais je ne sais pas le faire

--
Nicolas Michel
J.P. Poindessault
Le #17460411
In article (Michel Nicolas Alex) wrote:

J.P. Poindessault
> In article > (Michel Nicolas Alex) wrote:
>
> ...........
>
> Merci Nicolas.
> De ce que tu écris, je retiens surtout que les ACL passent avant le POSIX.

J'avais un doute, donc je viens de tester et oui :
si tu as les droits avec des ACL mais pas avec les permissions POSIX, ça
passe.

.........



Aujord'hui, je suis "hors les murs" et donc je regarde ça au plus vite.

Merci Nicolas.

Jean-Pierre
laurent.pertois
Le #17502191
J.P. Poindessault
Ce qui m'étonne quand même c'est que lors de la copie d'un fichier ou d'un
dossier dans un share, ni le GUI de Server Admin, ni le Get Info ne
m'affichent des permissions cohérentes avec ce que j'attends. d'ailleurs
les deux (S Admin et Get Info) ne sont pas toujours d'accord sur le statut
des permissions. en gros c'est le souk.



Le Get Info tu le fais sur le serveur ou depuis un client ?

Le pire, c'est que le INHERIT qui marchait fort bien en AFP sous 10.3.9
zozotte lui aussi !



En 10.5 ça n'existe plus, ACLs forever :


Bref, en AFP comme en SMB on passe par les ACLs c'est ce qu'il y a de
mieux et de plus fiable.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
J.P. Poindessault
Le #17507621
In article (Laurent Pertois) wrote:

J.P. Poindessault
> Ce qui m'étonne quand même c'est que lors de la copie d'un fichier ou d'un
> dossier dans un share, ni le GUI de Server Admin, ni le Get Info ne
> m'affichent des permissions cohérentes avec ce que j'attends. d'ailleurs
> les deux (S Admin et Get Info) ne sont pas toujours d'accord sur le statut
> des permissions. en gros c'est le souk.

Le Get Info tu le fais sur le serveur ou depuis un client ?


Depuis le client
> Le pire, c'est que le INHERIT qui marchait fort bien en AFP sous 10.3.9
> zozotte lui aussi !

En 10.5 ça n'existe plus, ACLs forever :


Bref, en AFP comme en SMB on passe par les ACLs c'est ce qu'il y a de
mieux et de plus fiable.


OK, je vais lire ça en détail.
L'introduction reflète bien ma situation actuelle. Sacré Guillaume !

J'ai quand même le sentiment que cette partie de Léopard server a été traitée
bizarrement. Le dialogue "Propagation des permissions" est vraiment curieux et
je ne sais pourquoi ce truc se plante souvent lamentablement (la barre de tempo
ne s'arrête jamais) si on ne marque pas toutes les options et surtout ACL.

J'ai probablement raté quelquechose, mais étrange, très étrange !

Jean-Pierre
J.P. Poindessault
Le #17508151
In article "J.P. Poindessault"
In article (Laurent Pertois) wrote:

> J.P. Poindessault >
> > Ce qui m'étonne quand même c'est que lors de la copie d'un fichier ou
> > d'un
> > dossier dans un share, ni le GUI de Server Admin, ni le Get Info ne
> > m'affichent des permissions cohérentes avec ce que j'attends. d'ailleurs
> > les deux (S Admin et Get Info) ne sont pas toujours d'accord sur le
> > statut
> > des permissions. en gros c'est le souk.
>
> Le Get Info tu le fais sur le serveur ou depuis un client ?
Depuis le client
> > Le pire, c'est que le INHERIT qui marchait fort bien en AFP sous 10.3.9
> > zozotte lui aussi !
>
> En 10.5 ça n'existe plus, ACLs forever :
>
> >
> Bref, en AFP comme en SMB on passe par les ACLs c'est ce qu'il y a de
> mieux et de plus fiable.
OK, je vais lire ça en détail.
L'introduction reflète bien ma situation actuelle. Sacré Guillaume !

J'ai quand même le sentiment que cette partie de Léopard server a été traitée
bizarrement. Le dialogue "Propagation des permissions" est vraiment curieux
et
je ne sais pourquoi ce truc se plante souvent lamentablement (la barre de
tempo
ne s'arrête jamais) si on ne marque pas toutes les options et surtout ACL.

J'ai probablement raté quelquechose, mais étrange, très étrange !

Jean-Pierre



Je viens de lire l'article de Guillaume.
Sa solution RW pour "staff" est pratique mais ne répond pas à mon besoin de
"boite aux lettres", DROPonly.

Comment paramétrer les permissions pour un dossier DROPonly chez Y où X dépose
un fichier et que:
- Y en soit propriétaire avec Read Write
- staff et donc X n'ait que Write ?

Autre question concernat la commande du GUI "Propager les permissions":
quelles cases coche-t-on exactement là-dedans pour propager les droits.
Par défaut je coche tout vu que l'opération ne se termine pas si ACL n'est pas
coché.
Je n'ai mis aucune ACL, mais il faut cocher quand même ? Alors à quoi sert cette
option ?

Jean-Pierre

Jean-Pierre
Publicité
Poster une réponse
Anonyme