droits samba pour users SFTP
Le
kiko
Bonjour à tous,
c'est une question un peu bizarre, mais je voudrais savoir si c'est possible.
j'ai un serveur samba (linux) avec des users qui se connectent dessus, et des droits sur des rep/fichiers pour chaque
user dans smb.conf (jusque là tout est normal)
j'ai un serveur SFTP (sur le meme server linux que samba) (ssh configuré et opérationnel), un seul user (root) configuré
avec ses clés privée et publique. ça fonctionne très bien avec winscp (client SFTP sous windows).
Dans la suite de ce message, je parle de Paul comme d'un user qui a quelques droits sur certains repertoires.
je voudrais creer des cles privees/publiques pour chaque user, qui se connecteront sur le SFTP avec winscp. Le probleme
est le suivant :
est-il possible de repercuter les droits d'acces de chq user dans samba, pour les appliquer à SFTP, de maniere a ce que
lorsque un user se connecte avec winscp sur le server SFTP, il ne voit que ce qu'il a le droit de voir (droits samba de
ce user) ?
Lorsque Paul se connecte avec winscp au server SFTP, il voit tout, absolument tout. Certes il ne peut pas créer de
répertoire/fichiers dans des chemins comme /etc, mais par contre il peut récupérer tous les fichiers du serveur sans
exception.
et là c un mega probleme
Je voudrais que samba dise au SFTP ce que PAUL peut voir, si c'est possible.
faut-il faire un 2eme fichier de config, pour le serveur SFTP, qui contiendrait les droits des users ?
dans samba Paul peut voir :
/volume1/bboa
/volume1/public
/volume1/photo
et ne peut pas voir :
/volume1/opt
/volume1/save
et le seul endroit dans le système, où ces droits sont gérés, c'est dans smb.conf (le fichier de config de samba)
autre exemple :
lorsque paul se connecte en FTP (pas SFTP) avec filezilla sur le serveur FTP (pas SFTP), il ne voit que ce que je lui ai
autorisé a voir dans samba.
je voudrais qu'il en soit de même pour SFTP (avec winscp)
j'espere avoir ete assez clair dans ma question, en esperant une reponse.
merci à tous
c'est une question un peu bizarre, mais je voudrais savoir si c'est possible.
j'ai un serveur samba (linux) avec des users qui se connectent dessus, et des droits sur des rep/fichiers pour chaque
user dans smb.conf (jusque là tout est normal)
j'ai un serveur SFTP (sur le meme server linux que samba) (ssh configuré et opérationnel), un seul user (root) configuré
avec ses clés privée et publique. ça fonctionne très bien avec winscp (client SFTP sous windows).
Dans la suite de ce message, je parle de Paul comme d'un user qui a quelques droits sur certains repertoires.
je voudrais creer des cles privees/publiques pour chaque user, qui se connecteront sur le SFTP avec winscp. Le probleme
est le suivant :
est-il possible de repercuter les droits d'acces de chq user dans samba, pour les appliquer à SFTP, de maniere a ce que
lorsque un user se connecte avec winscp sur le server SFTP, il ne voit que ce qu'il a le droit de voir (droits samba de
ce user) ?
Lorsque Paul se connecte avec winscp au server SFTP, il voit tout, absolument tout. Certes il ne peut pas créer de
répertoire/fichiers dans des chemins comme /etc, mais par contre il peut récupérer tous les fichiers du serveur sans
exception.
et là c un mega probleme
Je voudrais que samba dise au SFTP ce que PAUL peut voir, si c'est possible.
faut-il faire un 2eme fichier de config, pour le serveur SFTP, qui contiendrait les droits des users ?
dans samba Paul peut voir :
/volume1/bboa
/volume1/public
/volume1/photo
et ne peut pas voir :
/volume1/opt
/volume1/save
et le seul endroit dans le système, où ces droits sont gérés, c'est dans smb.conf (le fichier de config de samba)
autre exemple :
lorsque paul se connecte en FTP (pas SFTP) avec filezilla sur le serveur FTP (pas SFTP), il ne voit que ce que je lui ai
autorisé a voir dans samba.
je voudrais qu'il en soit de même pour SFTP (avec winscp)
j'espere avoir ete assez clair dans ma question, en esperant une reponse.
merci à tous
Poser une question
Que l'on soit connecté d'une manière sécurisé ou non, les droits unix
sont ceux de l'utilisateur propriétaire du processus. Connecté avec root
--> droits root. Il faut gérer les droits pour chaque utilisateur.
J'utilise une annuaire openldap dans un domaine windows-linux avec
support des acl. C'est une solution trés souple.
J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La
question était longue et j'ai pas encore pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation
merci
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne
semble pas être le cas.
Par contre ce que je dis sur les droits reste d'actualité. Je me suis
connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un
protocole ftp, c'est un équivalent windows de la commande Unix scp avec
possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh
n'a pas vocation à réduire les droits de l'utilisateur connecté, comme
un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même
façon que toi l'arborescence de mon prestataire internet (/etc par
exemple). Rien d'étonnant à cela. Le système Unix est historiquement
"ouvert". La plupart des fichiers systèmes sont accessibles en lecture
seule pour tout le monde aprés l'installation.
Tu peux donc interdire l'accés à tous les fichiers du système aux
"autres" et utiliser l'association winscp-ssh. Le système local ne sera
utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le
sens pas.
Ou bien trouver un protocole client-serveur du type ftp sécurisé avec
des options de publications de répertoires comme sur un serveur ftp. Je
ne connais pas d'extension sécurisé du protocole FTP.
+
j'ai bien compris maintenant.
encore merci