J'ai un petit problème avec les ACLs Posix :-(
En effet, sous NTFS, il y'a des "attributs étendus" pour un répertoire (par ex) comme:
- Creation de fichier
- Suppression de fichier
C'est assez pratique dans une école pour permettre à un étudiant de déposer un fichier dans un répertoire sans que personne ne puisse le lire/supprimer (pas même l'utilisateur en question). Cela évite de monter une gestion complexe de devoirs via script bash et interface web (cf projet SambaEdu, Scribe, ...).
Hors, justement, ces derniers utilise une gestion de devoir car il semble que les ACLs posix soient un peu limitées :( Y'a pas moyen d'avoir des ACLs étendues sous Unix ?
# Pas d'ACL decentes
Posté par Kerro . Évalué à 1.
Désolé, sous Linux et consorts, par d'ACLs dignes de ce nom. Il y a des choses basiques, et toujours un extrémiste pour te sortir qu'en créant un groupe par besoin c'est réglé (bon, et au bout de 51577455415 groupes, tu en as marre). D'autres te sortent que ce n'est pas de l'ACL qu'il te faut mais un autre truc. Mais pas un qui te sortent une solution qui fonctionne. Quoi qu'il en soit, ça n'est pas au niveau d'un Windows XP/2000/2003/etc de base.
Les ACL étendues ne résolvent pas le problème.
C'est un énorme frein pour beaucoup d'entreprises et de collectivités.
Il y a quelques années je m'étais penché sur la question. J'ai demandé poliment à droite et à gauche si quelqu'un a déjà commencé à bosser dessus. J'ai demandé des infos. Les seules réponses obtenues étaient "tu n'en as pas besoin". J'adore.
C'est pourquoi je virtualise toujours du Windows pour faire un bête serveur de fichiers. C'est complètement con, mais là, franchement, j'ai abandonné.
[^] # Re: Pas d'ACL decentes
Posté par Christophe "CHiPs" PETIT (site web personnel) . Évalué à 3.
Et http://www.lea-linux.org/documentations/index.php/Gestion_des_ACL ?
[^] # Re: Pas d'ACL decentes
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
N'importe quoi, les ACL POSIX ça existe, c'est implémenté dans Linux et ça permet… de définir des ACL, tout simplement.
# linux + samba + acl
Posté par NeoX . Évalué à 3.
ca ne le ferait pas ?
ce serait alors samba qui gere les ACLs
et ton histoire de creation/suppression, c'est pas une histoire de sticky bit ?
genre dans /tmp, tous le monde peut creer un fichier, mais dupond ne peut pas supprimer le fichier que durand a deposé.
# WebDAV
Posté par Bernez . Évalué à 2.
Tu peux obtenir le comportement que tu souhaites très simplement avec mod_dav sous Apache. Ce module est livré de base avec Apache (au moins sous Debian) donc il suffit d'installer Apache. Ensuite tu configures un répertoire avec des permissions adéquates dans la config d'Apache :
L'utilisateur qui fait tourner Apache (www-data sous Debian) doit avoir les droits en écriture sur le répertoire /var/www/devoirs.
Ensuite tu crées tes utilisateurs avec htpasswd :
Et si tu n'as pas envie de t'embêter avec un certificat SSL pour protéger les envois de mots de passe, tu peux utiliser une authentification digest à la place de basic (de concert avec la commande htdigest).
Un paquet à installer, un fichier de configuration et des comptes utilisateurs dans un fichier à plat, on ne peut pas faire plus simple.
# Pas des ACL
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Tu confonds ACL et permissions étendues.
Des ACL, c'est un moyen d'attribuer des permissions à des utilisateurs ou groupes individuels. C'est implémenté par les ACL POSIX (option de montage « acl » et outils
getfacletsetfacl), mais ce n'est pas spécialement ce que tu cherches.Des permissions étendues, ce sont des permissions qui vont au-delà des droits de lecture/écriture/exécution habituels. Je crois que ça existe mais je n'en ai jamais utilisé.
[^] # Re: Pas des ACL
Posté par briaeros007 . Évalué à 4.
chattr/lsattr
Toutefois ils ne dépendent pas des droits/utilisateurs (ils sont attribués en "global" sur le système).
tu as entre autre une certaine option "i" pour immutable (ne peut pas être supprimée, ne peut pas être modifié), ou des options qui font que tu ne peux que rajouter des donnés à la fin du fichier, etc...
# Besoin ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 7.
Permettre de déposer sans que les gens puissent voir les fichiers, c'est souvent utilisé, pour les incoming FTP. Un simple répertoire, droit d'écriture et de parcours pour tous mais pas de droit de lecture.
En revanche, vouloir interdire à un utilisateur de lire le fichier qu'il a lui-même déposé, c'est parfaitement inutile : il le connaît déjà, ce fichier, puisque c'est lui qui l'a déposé !
# Constat, encore et toujours
Posté par Kerro . Évalué à 2.
Comme tu peux le constater, j'ai écrit dans le premier message qu'il y a toujours du monde pour prétendre que c'est possible, ça fonctionne, pas de problème... mais tu constates que personne n'a donné le moindre début de solution qui fonctionne. Ca reste au niveau du blabla.
Les ACL et ACL étendues ne permettent que de faire des choses très simples. C'est un bon début mais hyper limité dès qu'on est sur des besoins pro. Une simple entreprise avec 5 ordinateurs a besoin de plus.
L'utilisation de mod_dav ne résoud pas mieux le problème. Et ne permet pas aux utilisateurs de modifier eux-même les permissions.
Exemple hyper classique faisable avec toutes les versions de Windows depuis 15 ans (!!) mais pas du tout avec Linux ou BSD:
Les solutions qui ont été portées à ma connaissance sont abandonnées, en cours de développement depuis des années, ou ne fonctionnent pas.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.