suite au fil "ouvrir session et lancer logiciel java en cli",
je suis content d'avoir réussi à faire marcher mon logiciel avec
su zadmin -c 'sudo
~amelie/Applications/special/ServeurCarbon.app/Contents/MacOS/JavaApplica
tionStub'
:-)
mais ça me dérange quand même un petit peu de le faire marcher en tant
que root, alors qu'il a seulement besoin d'être simple admin
si j'essaye de faire marcher le logiciel en tant que simple admin, ça me
donne :
kCGErrorRangeCheck : Window Server communications from outside of
session allowed for root and console user only
est ce que c'est possible de faire en sorte que le logiciel ait les
mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
(ne pas passer root, quoi)
si c'est possible, il me semble que ça lui permettrais de se connecter
au "Window Server" sans devoir être root
si c'est pas possible,
c'est quoi ce "console user" ?
est ce que ça permettrais de lui donner un peu moins de droits que root ?
mais ça me dérange quand même un petit peu de le faire marcher en tant que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur pour pouvoir appeler sudo et passer root ? Sinon, c'est que c'est vraisemblablement juste un problème de droits d'accès à des fichiers. A ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions : utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou librairies qui peuvent être appelées par un admin et pas par un utilisateur simple.
est ce que c'est possible de faire en sorte que le logiciel ait les mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ? (ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
c'est quoi ce "console user" ?
C'est l'utilisateur de la session graphique.
Patrick -- Patrick Stadelmann
In article
<fantome.forums.tDeContes-8B9150.16404516062009@news.free.fr>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
mais ça me dérange quand même un petit peu de le faire marcher en tant
que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur
pour pouvoir appeler sudo et passer root ? Sinon, c'est que c'est
vraisemblablement juste un problème de droits d'accès à des fichiers. A
ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions :
utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou
librairies qui peuvent être appelées par un admin et pas par un
utilisateur simple.
est ce que c'est possible de faire en sorte que le logiciel ait les
mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
(ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
c'est quoi ce "console user" ?
C'est l'utilisateur de la session graphique.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
mais ça me dérange quand même un petit peu de le faire marcher en tant que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur pour pouvoir appeler sudo et passer root ? Sinon, c'est que c'est vraisemblablement juste un problème de droits d'accès à des fichiers. A ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions : utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou librairies qui peuvent être appelées par un admin et pas par un utilisateur simple.
est ce que c'est possible de faire en sorte que le logiciel ait les mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ? (ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
c'est quoi ce "console user" ?
C'est l'utilisateur de la session graphique.
Patrick -- Patrick Stadelmann
Thomas
In article , Patrick Stadelmann wrote:
In article , Thomas wrote:
> mais ça me dérange quand même un petit peu de le faire marcher en tant > que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur pour pouvoir appeler sudo et passer root ?
ben, il demande jamais aucun mdp ... c'est possible d'appeler sudo sans demander aucun mdp (dans la config par défaut) ?
Sinon, c'est que c'est vraisemblablement juste un problème de droits d'accès à des fichiers. A ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions : utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou librairies qui peuvent être appelées par un admin et pas par un utilisateur simple.
il m'a parlé au tel d'appels java et de gestion d'accès multiples sur des fichiers
il me semblait que la gestion d'accès multiples c'était faisable avec un utilisateur normal, alors moi aussi ça m'a surpris mais bon, je connais pas bcp java, alors peut être que la jvm met plus de limitations que nécessaire, ou ...
alors je lui ai demandé des précisions, mais il m'a pas encore répondu
> est ce que c'est possible de faire en sorte que le logiciel ait les > mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ? > (ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
si c'est ce que tu dis (droits d'accès à des fichiers), il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès en question ? c'est pas possible de faire ça avec sudo, de garder l'uid de l'utilisateur et d'ajouter un groupe ?
In article
<Patrick.Stadelmann-5B89AA.18011716062009@news.individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article
<fantome.forums.tDeContes-8B9150.16404516062009@news.free.fr>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
> mais ça me dérange quand même un petit peu de le faire marcher en tant
> que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur
pour pouvoir appeler sudo et passer root ?
ben, il demande jamais aucun mdp ...
c'est possible d'appeler sudo sans demander aucun mdp (dans la config
par défaut) ?
Sinon, c'est que c'est
vraisemblablement juste un problème de droits d'accès à des fichiers. A
ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions :
utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou
librairies qui peuvent être appelées par un admin et pas par un
utilisateur simple.
il m'a parlé au tel d'appels java et de gestion d'accès multiples sur
des fichiers
il me semblait que la gestion d'accès multiples c'était faisable avec un
utilisateur normal, alors moi aussi ça m'a surpris
mais bon, je connais pas bcp java, alors peut être que la jvm met plus
de limitations que nécessaire, ou ...
alors je lui ai demandé des précisions, mais il m'a pas encore répondu
> est ce que c'est possible de faire en sorte que le logiciel ait les
> mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ?
> (ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
si c'est ce que tu dis (droits d'accès à des fichiers),
il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
en question ?
c'est pas possible de faire ça avec sudo, de garder l'uid de
l'utilisateur et d'ajouter un groupe ?
> mais ça me dérange quand même un petit peu de le faire marcher en tant > que root, alors qu'il a seulement besoin d'être simple admin
T'es sûr de ça ? Il n'a pas besoin d'être lancé par un administrateur pour pouvoir appeler sudo et passer root ?
ben, il demande jamais aucun mdp ... c'est possible d'appeler sudo sans demander aucun mdp (dans la config par défaut) ?
Sinon, c'est que c'est vraisemblablement juste un problème de droits d'accès à des fichiers. A ma connaissance, Mac OS X connaît deux niveau de droits d'exécutions : utilisateur ou root, il ne me semble pas qu'il y ait des commandes ou librairies qui peuvent être appelées par un admin et pas par un utilisateur simple.
il m'a parlé au tel d'appels java et de gestion d'accès multiples sur des fichiers
il me semblait que la gestion d'accès multiples c'était faisable avec un utilisateur normal, alors moi aussi ça m'a surpris mais bon, je connais pas bcp java, alors peut être que la jvm met plus de limitations que nécessaire, ou ...
alors je lui ai demandé des précisions, mais il m'a pas encore répondu
> est ce que c'est possible de faire en sorte que le logiciel ait les > mêmes droits qu'un admin, mais en gardant l'uid de l'utilisateur ? > (ne pas passer root, quoi)
Je ne pense pas, pour la raison ci-dessus.
si c'est ce que tu dis (droits d'accès à des fichiers), il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès en question ? c'est pas possible de faire ça avec sudo, de garder l'uid de l'utilisateur et d'ajouter un groupe ?
> In article > , > Thomas wrote: > > > si c'est ce que tu dis (droits d'accès à des fichiers), > > il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès > > en question ? > > Il faut changer le groupe du fichier et ensuite activer le bit 's' du > groupe : > > sudo chgrp admin ... > sudo chmod g+s ... > > et le lancer normalement. Il prendra alors les droits du groupe admin > tout en conservant ceux de l'utilisateur qui le lance.
ah oui, alors je sais pas si ça marche avec java, vu que ça marche pas avec le shell ... enfin j'essaye tout de suite
le guid (?) marche avec java :-)
ça permet d'avoir bcp de mieux :-) (je n'ai pas encore pu tester complètement)
maintenant, si c'est lui qui a raison, il va rester des choses qui ne vont pas marcher comme il faut, mais j'imagine que tu peux pas m'en dire plus maintenant, donc faudra attendre qu'il me dise ce pour quoi il a besoin d'être admin ...
In article
<fantome.forums.tDeContes-A28CA0.13051417062009@news.free.fr>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
In article
<Patrick.Stadelmann-D7BFC2.08351117062009@news.individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
> In article
> <fantome.forums.tDeContes-44BDAF.03414217062009@news.free.fr>,
> Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
>
> > si c'est ce que tu dis (droits d'accès à des fichiers),
> > il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès
> > en question ?
>
> Il faut changer le groupe du fichier et ensuite activer le bit 's' du
> groupe :
>
> sudo chgrp admin ...
> sudo chmod g+s ...
>
> et le lancer normalement. Il prendra alors les droits du groupe admin
> tout en conservant ceux de l'utilisateur qui le lance.
ah oui, alors je sais pas si ça marche avec java, vu que ça marche pas
avec le shell ...
enfin j'essaye tout de suite
le guid (?) marche avec java :-)
ça permet d'avoir bcp de mieux :-)
(je n'ai pas encore pu tester complètement)
maintenant, si c'est lui qui a raison, il va rester des choses qui ne
vont pas marcher comme il faut,
mais j'imagine que tu peux pas m'en dire plus maintenant, donc faudra
attendre qu'il me dise ce pour quoi il a besoin d'être admin ...
> In article > , > Thomas wrote: > > > si c'est ce que tu dis (droits d'accès à des fichiers), > > il doit suffire d'ajouter le groupe admin, pour avoir les droits d'accès > > en question ? > > Il faut changer le groupe du fichier et ensuite activer le bit 's' du > groupe : > > sudo chgrp admin ... > sudo chmod g+s ... > > et le lancer normalement. Il prendra alors les droits du groupe admin > tout en conservant ceux de l'utilisateur qui le lance.
ah oui, alors je sais pas si ça marche avec java, vu que ça marche pas avec le shell ... enfin j'essaye tout de suite
le guid (?) marche avec java :-)
ça permet d'avoir bcp de mieux :-) (je n'ai pas encore pu tester complètement)
maintenant, si c'est lui qui a raison, il va rester des choses qui ne vont pas marcher comme il faut, mais j'imagine que tu peux pas m'en dire plus maintenant, donc faudra attendre qu'il me dise ce pour quoi il a besoin d'être admin ...
heu oui, désolé, je savais qu'il y avait un sigle assez simple, mais je ne m'en rappelais plus :o)
en tout cas merci de m'avoir mis sur cette voie, j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne marche pas avec le shell ça ne marcherais pas avec java non plus :-)
In article
<Patrick.Stadelmann-8AEF5A.16320917062009@news.individual.net>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article
<fantome.forums.tDeContes-71E37A.15490217062009@news.free.fr>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
> le guid (?) marche avec java :-)
setgid ou sgid (set group id).
heu oui, désolé,
je savais qu'il y avait un sigle assez simple, mais je ne m'en rappelais
plus :o)
en tout cas merci de m'avoir mis sur cette voie,
j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne
marche pas avec le shell ça ne marcherais pas avec java non plus :-)
heu oui, désolé, je savais qu'il y avait un sigle assez simple, mais je ne m'en rappelais plus :o)
en tout cas merci de m'avoir mis sur cette voie, j'en ai eu l'idée à un moment, mais je me suis dit que puisque ça ne marche pas avec le shell ça ne marcherais pas avec java non plus :-)
ben, si on met un suid ou un sgid sur un script, ça n'a aucun effet ! tu savais pas ?
C'est pas "avec le shell" alors, c'est "avec un script". C'est un comportement voulu, pour des raisons de sécurité. Par contre, avec des exécutables binaires, ça fonctionne.
Patrick -- Patrick Stadelmann
In article
<fantome.forums.tDeContes-2C54A6.18210517062009@news.free.fr>,
Thomas <fantome.forums.tDeContes@free.fr.invalid> wrote:
ben, si on met un suid ou un sgid sur un script, ça n'a aucun effet !
tu savais pas ?
C'est pas "avec le shell" alors, c'est "avec un script". C'est un
comportement voulu, pour des raisons de sécurité. Par contre, avec des
exécutables binaires, ça fonctionne.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
ben, si on met un suid ou un sgid sur un script, ça n'a aucun effet ! tu savais pas ?
C'est pas "avec le shell" alors, c'est "avec un script". C'est un comportement voulu, pour des raisons de sécurité. Par contre, avec des exécutables binaires, ça fonctionne.
