Samba et sécurité utilisateurs Windows
Fermé
fradeski
Messages postés
4
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
8 janvier 2010
-
6 janv. 2010 à 10:13
fradeski Messages postés 4 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 8 janvier 2010 - 6 janv. 2010 à 17:05
fradeski Messages postés 4 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 8 janvier 2010 - 6 janv. 2010 à 17:05
A voir également:
- Samba et sécurité utilisateurs Windows
- Clé windows 10 gratuit - Guide
- Windows 10 gratuit - Guide
- Windows 12 - Guide
- Windows ne démarre pas - Guide
- Désactiver sécurité windows - Guide
5 réponses
jipicy
Messages postés
40842
Date d'inscription
jeudi 28 août 2003
Statut
Modérateur
Dernière intervention
10 août 2020
4 895
6 janv. 2010 à 10:25
6 janv. 2010 à 10:25
Salut,
Voir du côté des ACLs (Access Control Lists)...
Voir du côté des ACLs (Access Control Lists)...
Bonjour,
Les seuls utilisateurs défini dans l'onglet sécurité sont root ; le groupe samba et tout le monde (qui correspond au droits unix "uga"). L'ajout d'utilisateur AD, n'est pas pris en compte, ce qui paraît normal via la configuration actuellement du serveur samba.
Samba doit appliquer sur un système de fichiers de type Unix des droits de type Windows. A ma connaissance, il ne sait qu'appliquer les attributs archaïques ms-dos (readonly, system, etc.) sur les droits d'exécution Unix.
Voir du côté des ACLs (Access Control Lists)...
Je crains que ça ne suffise pas (ou y'a un truc que je ne connais pas).
C'est particulièrement désolant lorsque le système de fichiers cible est NTFS, il y a tout ce qu'il faut dans ntfs-3g, mais il faudrait que Samba transporte les ACL Windows au lieu d'essayer de les transcrire à la sauce Unix.
Manu
Les seuls utilisateurs défini dans l'onglet sécurité sont root ; le groupe samba et tout le monde (qui correspond au droits unix "uga"). L'ajout d'utilisateur AD, n'est pas pris en compte, ce qui paraît normal via la configuration actuellement du serveur samba.
Samba doit appliquer sur un système de fichiers de type Unix des droits de type Windows. A ma connaissance, il ne sait qu'appliquer les attributs archaïques ms-dos (readonly, system, etc.) sur les droits d'exécution Unix.
Voir du côté des ACLs (Access Control Lists)...
Je crains que ça ne suffise pas (ou y'a un truc que je ne connais pas).
C'est particulièrement désolant lorsque le système de fichiers cible est NTFS, il y a tout ce qu'il faut dans ntfs-3g, mais il faudrait que Samba transporte les ACL Windows au lieu d'essayer de les transcrire à la sauce Unix.
Manu
jipicy
Messages postés
40842
Date d'inscription
jeudi 28 août 2003
Statut
Modérateur
Dernière intervention
10 août 2020
4 895
6 janv. 2010 à 11:45
6 janv. 2010 à 11:45
Les points de suspension finaux laissaient sous-entendre un peut-être ;-\
Mais bon, un petit googlage "Samba + ACL" me donne en 1er lien :
http://www.linux-france.org/...
qui dit en substance...
Sans rentrer dans le débat du "pourquoi de ACLs", on peut simplement dire que comme la gestion de la sécurité sous NT et Windows 2000 passe à la fois par les droits posés sur les partages ET sur ceux posés au niveau du système de fichier NTFS, si on veut vraiment avoir les mêmes fonctionalités qu'un serveur de fichier NT, il faut intégrer le support des ACLs à Samba.
;-))
Mais bon, un petit googlage "Samba + ACL" me donne en 1er lien :
http://www.linux-france.org/...
qui dit en substance...
Sans rentrer dans le débat du "pourquoi de ACLs", on peut simplement dire que comme la gestion de la sécurité sous NT et Windows 2000 passe à la fois par les droits posés sur les partages ET sur ceux posés au niveau du système de fichier NTFS, si on veut vraiment avoir les mêmes fonctionalités qu'un serveur de fichier NT, il faut intégrer le support des ACLs à Samba.
;-))
fradeski
Messages postés
4
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
8 janvier 2010
6 janv. 2010 à 14:58
6 janv. 2010 à 14:58
Merci pour vos réponses rapides,
J'ai un peu creusé la question des acl et suivi les liens que tu m'a donné.
Les acl n'étaient pas supportés par mon serveur. J'ai donc mis en place. Cela fonctionne en local.
Cependant, il persiste un problème de configuration de ma part.
Lorsque je fait un setfacl d'un utilisateur local au serveur samba, je le vois bien dans l'onglet "sécurité", l'utilisateur en question. Donc la résolution de mon problème part sur une bonne piste.
Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur.
setfacl: Option -m: Argument invalide near character 3
Comment faire ?
merci de votre aide
J'ai un peu creusé la question des acl et suivi les liens que tu m'a donné.
Les acl n'étaient pas supportés par mon serveur. J'ai donc mis en place. Cela fonctionne en local.
Cependant, il persiste un problème de configuration de ma part.
Lorsque je fait un setfacl d'un utilisateur local au serveur samba, je le vois bien dans l'onglet "sécurité", l'utilisateur en question. Donc la résolution de mon problème part sur une bonne piste.
Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur.
setfacl: Option -m: Argument invalide near character 3
Comment faire ?
merci de votre aide
Rebonjour,
Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur.
Ca m'étonnerait que Samba sache créer des fichiers avec un propriétaire différent par utilisateur. Il est trop bête pour utiliser les ACL du serveur. Créez un fichier à travers Samba, et regardez quel est (vu du serveur) le propriétaire (les uid et gid) du fichier créé. Ce sont ces uid et gid qui ont un sens pour setfacl... mais vous n'irez pas loin dans cette direction car les utilisateurs seront indiscernables.
Je crains que votre seule issue soit l'usage des protections propres à Samba.
Manu
Cependant, je voudrais, au moins pour tester manuellement avec "setfacl", comment ajouter un utilisateur "MONDOMAINE@utilisateur" ?? Car celui ci n'étant pas défini dans les comptes locaux au serveur samba mais dans l'active directory, j'obtient une erreur en utilisant "setfacl" car il n'est pas reconnu en tant qu'utilisateur.
Ca m'étonnerait que Samba sache créer des fichiers avec un propriétaire différent par utilisateur. Il est trop bête pour utiliser les ACL du serveur. Créez un fichier à travers Samba, et regardez quel est (vu du serveur) le propriétaire (les uid et gid) du fichier créé. Ce sont ces uid et gid qui ont un sens pour setfacl... mais vous n'irez pas loin dans cette direction car les utilisateurs seront indiscernables.
Je crains que votre seule issue soit l'usage des protections propres à Samba.
Manu
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fradeski
Messages postés
4
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
8 janvier 2010
6 janv. 2010 à 17:05
6 janv. 2010 à 17:05
En effet, je commence à douter qu'une solution existe.
Cependant, est-il possible d'associer un utilisateur Active Directory à un compte serveur samba ?
En fait lorsque je créé un dossier sur un client windows en tant qu' "Administrateur", le propriètaire devient alors "root". Qu'est ce qui explique cela ? Puis je faire la même chose comme par exemple toto@MONDOMAINE équivaut à toto sur le serveur samba ?
Par ailleurs après d'autre test j'ai remarqué que j'accède à mon partage seulement avec l'identification d'"administrateur" active directory alors que dans smb.conf, le partage est censé être public (public = yes).
Merci de votre aide.
Cependant, est-il possible d'associer un utilisateur Active Directory à un compte serveur samba ?
En fait lorsque je créé un dossier sur un client windows en tant qu' "Administrateur", le propriètaire devient alors "root". Qu'est ce qui explique cela ? Puis je faire la même chose comme par exemple toto@MONDOMAINE équivaut à toto sur le serveur samba ?
Par ailleurs après d'autre test j'ai remarqué que j'accède à mon partage seulement avec l'identification d'"administrateur" active directory alors que dans smb.conf, le partage est censé être public (public = yes).
Merci de votre aide.
