finesse de sudo

Le
Thomas
bonjour :-)

suite au fil "ouvrir session et lancer logiciel java en cli",



je suis content d'avoir réussi à faire marcher mon logiciel avec

su zadmin -c 'sudo
~amelie/Applications/special/ServeurCarbon.app/Contents/MacOS/JavaApplica
tionStub'

:-)

mais ça me dérange quand même un petit peu de le faire marcher en tant
que root, alors qu'il a seulement besoin d'être simple admin


si j'essaye de faire marcher le logiciel en tant que simple admin, ça me
donne :

kCGErrorRangeCheck : Window Server communications from outside of
session allowed for root and console user only



est ce que c'est possible de faire en sorte que le logiciel ait les
mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
(ne pas passer root, quoi)
si c'est possible, il me semble que ça lui permettrais de se connecter
au "Window Server" sans devoir être root


si c'est pas possible,
c'est quoi ce "console user" ?
est ce que ça permettrais de lui donner un peu moins de droits que root ?

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrick Stadelmann
Le #19579901
In article
Thomas
mais ça me dérange quand même un petit peu de le faire marcher en tant
que root, alors qu'il a seulement besoin d'être simple admin



T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur
pour pouvoir appeler sudo et passer root ? Sinon, c'est que c'est
vraisemblablement juste un problème de droits d'accès à des fichiers. A
ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions :
utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou
librairies qui peuvent être appelées par un admin et pas par un
utilisateur simple.

est ce que c'est possible de faire en sorte que le logiciel ait les
mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
(ne pas passer root, quoi)



Je ne pense pas, pour la raison ci-dessus.

c'est quoi ce "console user" ?



C'est l'utilisateur de la session graphique.

Patrick
--
Patrick Stadelmann
Thomas
Le #19583001
In article
Patrick Stadelmann
In article
Thomas
> mais ça me dérange quand même un petit peu de le faire marcher en tant
> que root, alors qu'il a seulement besoin d'être simple admin

T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur
pour pouvoir appeler sudo et passer root ?



ben, il demande jamais aucun mdp ...
c'est possible d'appeler sudo sans demander aucun mdp (dans la config
par défaut) ?

Sinon, c'est que c'est
vraisemblablement juste un problème de droits d'accès à des fichiers. A
ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions :
utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou
librairies qui peuvent être appelées par un admin et pas par un
utilisateur simple.



il m'a parlé au tel d'appels java et de gestion d'accès multiples sur
des fichiers

il me semblait que la gestion d'accès multiples c'était faisable avec un
utilisateur normal, alors moi aussi ça m'a surpris
mais bon, je connais pas bcp java, alors peut être que la jvm met plus
de limitations que nécessaire, ou ...

alors je lui ai demandé des précisions, mais il m'a pas encore répondu



> est ce que c'est possible de faire en sorte que le logiciel ait les
> mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
> (ne pas passer root, quoi)

Je ne pense pas, pour la raison ci-dessus.



si c'est ce que tu dis (droits d'accès à des fichiers),
il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
en question ?
c'est pas possible de faire ça avec sudo, de garder l'uid de
l'utilisateur et d'ajouter un groupe ?


> c'est quoi ce "console user" ?

C'est l'utilisateur de la session graphique.



ah zut :-(

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Patrick Stadelmann
Le #19583541
In article
Thomas
c'est possible d'appeler sudo sans demander aucun mdp (dans la config
par défaut) ?



Non.

si c'est ce que tu dis (droits d'accès à des fichiers),
il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
en question ?



Il faut changer le groupe du fichier et ensuite activer le bit 's' du
groupe :

sudo chgrp admin ...
sudo chmod g+s ...

et le lancer normalement. Il prendra alors les droits du groupe admin
tout en conservant ceux de l'utilisateur qui le lance.

Patrick
--
Patrick Stadelmann
Thomas
Le #19585291
In article
Patrick Stadelmann
In article
Thomas
> c'est possible d'appeler sudo sans demander aucun mdp (dans la config
> par défaut) ?

Non.



(voir mon prochain fil (que j'ai pas encore écrit :o) ))


> si c'est ce que tu dis (droits d'accès à des fichiers),
> il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
> en question ?

Il faut changer le groupe du fichier et ensuite activer le bit 's' du
groupe :

sudo chgrp admin ...
sudo chmod g+s ...

et le lancer normalement. Il prendra alors les droits du groupe admin
tout en conservant ceux de l'utilisateur qui le lance.



ah oui, alors je sais pas si ça marche avec java, vu que ça marche pas
avec le shell ...
enfin j'essaye tout de suite

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Thomas
Le #19586491
In article
Thomas
In article
Patrick Stadelmann
> In article
> > Thomas >
> > si c'est ce que tu dis (droits d'accès à des fichiers),
> > il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
> > en question ?
>
> Il faut changer le groupe du fichier et ensuite activer le bit 's' du
> groupe :
>
> sudo chgrp admin ...
> sudo chmod g+s ...
>
> et le lancer normalement. Il prendra alors les droits du groupe admin
> tout en conservant ceux de l'utilisateur qui le lance.

ah oui, alors je sais pas si ça marche avec java, vu que ça marche pas
avec le shell ...
enfin j'essaye tout de suite



le guid (?) marche avec java :-)

ça permet d'avoir bcp de mieux :-)
(je n'ai pas encore pu tester complètement)

maintenant, si c'est lui qui a raison, il va rester des choses qui ne
vont pas marcher comme il faut,
mais j'imagine que tu peux pas m'en dire plus maintenant, donc faudra
attendre qu'il me dise ce pour quoi il a besoin d'être admin ...

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Patrick Stadelmann
Le #19586821
In article
Thomas
le guid (?) marche avec java :-)



setgid ou sgid (set group id).

Patrick
--
Patrick Stadelmann
Thomas
Le #19587021
In article
Patrick Stadelmann
In article
Thomas
> le guid (?) marche avec java :-)

setgid ou sgid (set group id).



heu oui, désolé,
je savais qu'il y avait un sigle assez simple, mais je ne m'en rappelais
plus :o)


en tout cas merci de m'avoir mis sur cette voie,
j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne
marche pas avec le shell ça ne marcherais pas avec java non plus :-)

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Patrick Stadelmann
Le #19587341
In article
Thomas
j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne
marche pas avec le shell ça ne marcherais pas avec java non plus :-)



Que veux-tu dire par "ça ne marche pas avec le shell" ?

Patrick
--
Patrick Stadelmann
Thomas
Le #19587601
In article
Patrick Stadelmann
In article
Thomas
> j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne
> marche pas avec le shell ça ne marcherais pas avec java non plus :-)

Que veux-tu dire par "ça ne marche pas avec le shell" ?



ben, si on met un suid ou un sgid sur un script, ça n'a aucun effet !
tu savais pas ?

--
Téléassistance / Télémaintenance
http://www.portparallele.com/ThomasDECONTES/
Patrick Stadelmann
Le #19587821
In article
Thomas
ben, si on met un suid ou un sgid sur un script, ça n'a aucun effet !
tu savais pas ?



C'est pas "avec le shell" alors, c'est "avec un script". C'est un
comportement voulu, pour des raisons de sécurité. Par contre, avec des
exécutables binaires, ça fonctionne.

Patrick
--
Patrick Stadelmann
Publicité
Poster une réponse
Anonyme