autorissations sur un serveur...

Le
yapu
je n'y comprends plus rien
un serveur OSX 10.5.8 administré par JollyFast VNC.

Sur ce serveur, un disque avec 3 partitions dont une avec le système et
les utilisateurs "locaux", et l'autre avec des dossiers partagés.

Le serveur est démarré avec un compte non administrateur. C'est
embetant, car pour administrer les droits, je dois changer de compte ce
qui délogue VNC, mais bon

sur la partition sur laquelle il y a des dossiers partagés (mais pas
tous), j'ai un souci récent : je n'ai plus accès qu'en lecture (partage
AFP depuis 10.4.10) la fenetre info du dossier partagé vues depuis
10.4.10 dit bien : lecture seulement.

pourtant, je regarde via VNC le finder du serveur sur un compte
administrateur, j'ai une discordance :
la fenetre info, dans son onglet partage et permission, me dit : lecture
seulement.
mais dans la liste qui suit, admin (Moi) est en lecture écriture, et
l'utilisateur que je connecte également.

De plus, le cadenas est grisé, ce qui m'empeche tout accès.

Si je passe sur l'interface d'administration des partages des
préférennces du serveur, memes choses ;
le partage du dossier en question est bien en lecture écriture pour
l'admin et pour l'utilisateur conencté, mais impossible d'écrire dans ce
dossier.
C'est pareil pour les autres répertoires partagés. de cette partition,
alors que je peux intervenir sur les partages des autres partitions.
En fait, c'est la partition elle-meme qui est uniquement en lecture.
Que faire ?

si je regarde cette partition dans utilitaire de disque, il me dit :
respect des privilèges : non.

je précise qu'il y a peu, j'ai réinstallé le système (avant, tout
allait bien)



--
Philippe Manet
en fait, c'est manet avant @
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
gilles
Le #22163631
Philippe Manet
Le serveur est démarré avec un compte non administrateur. C'est
embetant, car pour administrer les droits, je dois changer de compte ce
qui délogue VNC, mais bon...



tu ne peux pas utiliser les outils admin serveur ? ils peuvent être
utilisés "en local" sur le serveur, mais aussi à distance depuis un
autre poste.
Il faut simplement télécharger et installer les server admin tools :

sur la partition sur laquelle il y a des dossiers partagés (mais pas
tous), j'ai un souci récent : je n'ai plus accès qu'en lecture (partage
AFP depuis 10.4.10)... la fenetre info du dossier partagé vues depuis
10.4.10 dit bien : lecture seulement.


[...]
si je regarde cette partition dans utilitaire de disque, il me dit :
respect des privilèges : non.



si tu fais "pomme-i" sur l'icone de la partition en question dans le
finder, il n'y a pas la case "ignorer les autorisations qui est cochée ?

dans ce cas décoche là et redémarre le serveur (ou arrête le partage,
démonte les disques, remonte les disques, redémarre le partage si le
serveur ne peut être redémarré)

autrement tu peux forcer avec la commande terminal :
sudo diskutil enableOwnership /Volumes/xxxx



--
le guide de la Ram, hébergé sur disquette par un MacPortable de 1989 :
http://aurejac.dyndns.org
Jacques Perrocheau
Le #22164421
In article (Gilles Aurejac) wrote:

> Le serveur est démarré avec un compte non administrateur. C'est
> embetant, car pour administrer les droits, je dois changer de compte ce
> qui délogue VNC, mais bon...

Tu ne peux pas utiliser les outils admin serveur ? ils peuvent être
utilisés "en local" sur le serveur, mais aussi à distance depuis un
autre poste.
Il faut simplement télécharger et installer les server admin tools :



Humm! je ne suis pas sûr que quand Philippe parle d'"un serveur OSX
10.5.8 administré par JollyFast VNC.", il s'agisse de Mac OS X 10.5.8
"serveur"... (?)

J'ai d'ailleurs du mal à suivre la description de son problème... ;-)

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
NicolasAlex.Michel.remove
Le #22166181
Philippe Manet
si je regarde cette partition dans utilitaire de disque, il me dit :
respect des privilèges : non.



Il n'y a qu'un seul disque ?

Si oui, un pomme i comme Giles le dit devrait passer.

Si tu as un disque externe, il se peut que lorsque tu n'est pas logué le
disque ne soit pas monté, et ce genre de choses.
Dans un tel cas j'utilises TinkerTools.
Il me semble qu'il y a une option sur Mac OS X Server pour gérer le
mount mais je ne pratique pas assez et j'ai oublié cette astuce.


Pour le reste, j'ai pas compris.

As-tu accès à un terminal ?

Si oui, après activation des authorisation,
si le problème persiste
peut-tu faire quelques "ls -led" sur les dossiers concernés ?

Si jamais, gérer les permissions à travers le Finder est généralement
une mauvaise idée : c'est très mal foutu.

Sur Mac OS X Server il y a le workgroup manager.
Sur les clients, il y a sandbox

Et comme toujours, la cli avec chmod


--
Nicolas Michel
yapu
Le #22167911
Nicolas Michel
As-tu accès à un terminal ?



oui, notamment par SSH


Si oui, après activation des authorisation,



c'est là que le bat blesse...


si le problème persiste
peut-tu faire quelques "ls -led" sur les dossiers concernés ?



ça donne ça :
drwx----wx@ 41 admin staff 1394 30 mar 23:56 .
0: user:philippe allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
1: user:hugo allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
2: user:cecile allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
3: user:anne allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
4: user:admin allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
5: 43E4BA71-B46B-4193-B592-D4D674F34901 allow
list,search,readattr,readextattr,readsecurity


et les utilisateurs en question ne peuvent se connecter qu'en lecture.

--
Philippe Manet
en fait, c'est manet avant @
yapu
Le #22167921
comme le suppose bien Jacques, il ne s'agit pas d'OSX serveur, mais d'un
OSX standard utilisé comme serveur familial.

Gilles Aurejac
dans ce cas décoche là et redémarre le serveur (ou arrête le partage,
démonte les disques, remonte les disques, redémarre le partage si le
serveur ne peut être redémarré)



oui, je pensais bien que c'était là le souci, mais cette case est grisée
et le cadenas verrouillé, alors que je suis seul utilisateur du serveur
en tant qu'administrateur... sauf que c'est par VNC.

avec la commande sudo diskutil enableOwnership /Volumes/xxxx, je me
prends un long listing des verbes utilisables, et enableOwnership n'en
fait pas partie (réservé aux vrais serveurs ?), que je sois en local
sous 10.5.8 ou à distance par SSH en 10.4.10

à noter : la machine n'a pas de disque interne, et le disque partitionné
(partition de démarrage et partition partagée) est connecté en FW.

La partition de démarrage a bien le respect des autorisations, pas celle
de partage.

Il y a un mois, le meme montage fonctionnait parfaitement depuis une
bonne année, mais suite à un crash système j'ai réinstallé le système.

sous l'utilitaire de disque, les infos de la partition disent entre
autre :
respect des autorisations : non
peut désactiver les privilèges : oui


et je reprécise que meme en local (via VNC) l'administrateur ne peut pas
copier un fichier de la partition de démarrage vers la partition de
partage : "data ne peut etre modifié"
--
Philippe Manet
en fait, c'est manet avant @
NicolasAlex.Michel.remove
Le #22168921
Philippe Manet
Nicolas Michel
> Si oui, après activation des authorisation,

c'est là que le bat blesse...



Ce problème est étrange.
Essaie un checkdisk pour voir que la table de partition est bonne,
Puis essaies TinkerTool pour que ta partition soit traitée comme un
disque interne et non un disque externe.
De cette façon même délogué la partition sera accessible et les
permissions devraient être activées.

Ceci dit j'ai jamais eu ce cas de figure, donc je ne sais pas trop.
Ce serait plus simple de mettre le système sur un disque interne
mais j'immagines que ton disque externe est en raid

Pour le enableOwnership, il me semble que c'est une option spécifique à
SnowMinet. Sur un 10.5.8 je ne vois pas cette option.
Il doit y avoir un .plist quelque part, réglable avec "default" mais va
savoir où ...

> si le problème persiste
> peut-tu faire quelques "ls -led" sur les dossiers concernés ?

ça donne ça :
drwx----wx@ 41 admin staff 1394 30 mar 23:56 .
0: user:philippe allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
1: user:hugo allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
2: user:cecile allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
3: user:anne allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
4: user:admin allow
list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,re
adextattr,writeextattr,readsecurity
5: 43E4BA71-B46B-4193-B592-D4D674F34901 allow
list,search,readattr,readextattr,readsecurity


et les utilisateurs en question ne peuvent se connecter qu'en lecture.



Il me semble qu'une bonne pratique consiste à ne jamais attribuer une
ACL sur un utilisateur, mais plutôt sur un groupe.

Et du moment que tu ne mets pas de inherit, ne pourrais-tu pas gérer le
tout au niveau du groupe posix ?

A part ça, c'est quoi l'ACL 5 ?
ta machine est connectée à un OD, un AD ou un service ldap ?
je trouve étrange de voir le uuid plutôt que le username ...


--
Nicolas Michel
gilles
Le #22172701
Philippe Manet
oui, je pensais bien que c'était là le souci, mais cette case est grisée
et le cadenas verrouillé, alors que je suis seul utilisateur du serveur
en tant qu'administrateur... sauf que c'est par VNC.



je dis peut-être une bêtise mais tu n'arrives pas à cliquer sur le
cadenas et le dévérouiller ?

peut-être que le disque dur a un défaut matériel, et qu'il monte en
lecture seule : il faudrait regarder dans le moniteur d'activité s'il
n'y a pas un fsck en cours en tache de fond ?

avec la commande sudo diskutil enableOwnership /Volumes/xxxx, je me
prends un long listing des verbes utilisables, et enableOwnership n'en
fait pas partie (réservé aux vrais serveurs ?), que je sois en local
sous 10.5.8 ou à distance par SSH en 10.4.10



au temps pour moi, c'est une commande qui n'existe que sous 10.6.
en 10.5 il y a bien une commande hfs.util mais je ne suis pas sûr de la
syntaxe.


à noter : la machine n'a pas de disque interne, et le disque partitionné
(partition de démarrage et partition partagée) est connecté en FW.



ok.
est-ce que tu peux le brancher sur une autre machine, et tester si tu
peux décocher ou non la case d'ignorer les autorisations.

Si tu n'y arrives pas, je n'aime pas dire ça mais la solution restera de
reformater et de remettre les données et surtout bien tester le disque
(genre formatage à zero après sauvegarde) : un descripteur de partition
vrillé ça n'est pas bon signe pour la validité du disque.


--
le guide de la Ram, hébergé sur disquette par un MacPortable de 1989 :
http://aurejac.dyndns.org
gilles
Le #22172671
Philippe Manet
La partition de démarrage a bien le respect des autorisations, pas celle
de partage.

Il y a un mois, le meme montage fonctionnait parfaitement depuis une
bonne année, mais suite à un crash système j'ai réinstallé le système.

sous l'utilitaire de disque, les infos de la partition disent entre
autre :
respect des autorisations : non
peut désactiver les privilèges : oui


et je reprécise que meme en local (via VNC) l'administrateur ne peut pas
copier un fichier de la partition de démar



j'ai oublié une chose : tu peux essayer de sauvegarder, puis jeter le
fichier volinfo.database dans le dossier /var/db

et redémarrer. ça peut peut-être aider.

--
le guide de la Ram, hébergé sur disquette par un MacPortable de 1989 :
http://aurejac.dyndns.org
yapu
Le #22173901
Gilles Aurejac
je dis peut-être une bêtise mais tu n'arrives pas à cliquer sur le
cadenas et le dévérouiller ?



c'est exactement ça

peut-être que le disque dur a un défaut matériel, et qu'il monte en
lecture seule : il faudrait regarder dans le moniteur d'activité s'il
n'y a pas un fsck en cours en tache de fond ?



non, rien, un checkdisk ne montre aucun défaut

> à noter : la machine n'a pas de disque interne, et le disque partitionné
> (partition de démarrage et partition partagée) est connecté en FW.

est-ce que tu peux le brancher sur une autre machine, et tester si tu
peux décocher ou non la case d'ignorer les autorisations.



c'était la bonne manip : sur une autre machine (Tiger) j'ai pu cocher la
bonne case, et maintenant tout va bien.
--
Philippe Manet
en fait, c'est manet avant @
yapu
Le #22173911
Nicolas Michel
ta machine est connectée à un OD, un AD ou un service ldap ?



c'est un Leo tout bete et autonome ; il est vieux, et a du subir un
certain nombre de versions d'OSX...

le problème était bien de brancher le disque sur une machine (Tiger)
pour la case "ignorer les autorisations" ; un simple redeùarrage sur
celle-ci n'avait pas suffit.
--
Philippe Manet
en fait, c'est manet avant @
Publicité
Poster une réponse
Anonyme