Bonjour,
j'ai le besoin suivant:
Sur un serveur en RHEL5U3 64 bits, je vais devoir partager de gros files system en samba et NFS.
Je dois créer pour chaque FS un group admin qui aura des droits de lecture,ecriture sur le FS et un groupe users qui n'aura que le droit de lecture.
L'authentification devra se faire grace à NIS (à cause de vieux clients NFS qui ne comprennent que cette authentification).
Mon premier problème qui se pose c'est: les droits unix de base (je peux pas utiliser ACL cause partage en NFS et Samba) ne permettent que des droits pour UGO et le O c'est other signifiant tout le monde.
Je peux donc positionner des droits sur l'ensemble de mon FS avec les droits RW sur le groupe admin et des droits R pour tout le monde mais ça ne correspond pas à mon besoin qui est d'autoriser la lecture pour seulement mon groupe users.
J'avais pensé alors mettre une option de montage pour le FS qui n'autoriseraient que les membres des groupes admin et users à pouvoir monter le filesystem, mais apparement ce n'est pas possible car sous NFS c'est seulement des groupes de machines et non d'utilisateurs qui ont des droits de montage.
Ce besoin pourtant simple se heurte aux limitation de protocole unix oldschool (en plus apparement dans les NIS il n'est pas possible de faire de groupe de groupe si je me trompe pas, seulement des netgroup de netgroup).
Quelqu'un à une idée, suggestions, critiques, RTFM?
Forum Linux.redhat Droit sur zone d'archivage
3
juin
2010
# UGO
Posté par NeoX . Évalué à 2.
que le groups c'est users
alors tu peux faire un 750 sur le dossier et les fichiers qu'il contient
ensuite samba tu peux lui dire que tu autorise un group en lecture et un autre en lecture/ecriture, sans tenir compte des droits unix dessous
enfin NFS... ben c'est NFS avec ses limitations
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
Admin n'est pas le proprio.
Admin est un groupe d'utilisateurs NIS, donc non ça ne marche pas.
Avec Samba je sais que c'est jouable.
Je pensais qu'en NFS il y'avait moyen de coupler ça avec le NIS pour une gestion des droits plus fines mais apparement non, on ne peut limiter les exports qu'aux machines et netgroup de machine.
Je crois que je suis cuit!
[^] # Re: UGO
Posté par NeoX . Évalué à 2.
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
[^] # Re: UGO
Posté par NeoX . Évalué à 2.
User : le vrai proprio
Group : admin : lecture/ecriture
Other : les users : lecture seule
tu ne fais helas plus de distingo entre la compta et les commerciaux puisqu'ils ne sont pas admin.
mais le montage par NFS ne sert peut-etre pas aux comptables et commerciaux
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
Et que je n'ai aucun moyen de savoir si comptables et commerciaux ont accés au memes machines que les users ou non.
Pas glop!
[^] # Re: UGO
Posté par NeoX . Évalué à 2.
d'ou l'interet de faire un dossier par "service"/"groupe"
ainsi le dossier compta appartiendra au groupe COMPTABLES
le dossier commerciaux appartiendra au groupe COMMERCIAUX
l'un ne pourra pas aller dans l'autre
sinon as-tu vraiment besoin de NFS ?
d'apres ce que tu dis, tu as de "vieilles" machines qui ne gererait "que" NFS...
les machines recentes gerent toutes samba et te permettent donc une gestion plus fine des partages et des droits (y compris via les ACL)
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
Le samba seule m'aurait bien sur simplifié la life, mais mes clients veulent le beurre et l'argent du beurre.
Les contraintes sont finalement trés grandes et je pense que ça va être une belle m.... à administrer.
Autre question: est ce que tu penses qu'on peut faire des groupes de groupes dans NIS? il me semble que c'est limité au netgroup, ca voudrait dire une gestion trés lourde pour ajouter des gens dans les groupes NIS.
En même temps j'ai plus trop besoin de créer mon groupe "user" vu que le droit lecture sera ouvert aux 4 vents.
Merci pour ton temps en tout cas.
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
[^] # Re: UGO
Posté par NeoX . Évalué à 2.
donc ce n'est surement pas la compta ou les commerciaux...
comme c'est un serveur, tu sais pertinemment quel service l'utilise
et donc tu peux restreindre l'export NFS aux seuls dossiers que le service aura besoin d'utiliser.
pour les groupes de groupes dans NIS, je ne penses pas
car c'est comme les user/group Unix
[^] # Re: UGO
Posté par jean_clume . Évalué à 1.
Autre solution : filtrer les acces sur la machine avec une liste de users pouvant y acceder, mais c'est relou.
En même temps le besoin est un peu exigeant (du samba et du NFS sur des vieux unix avec 2 groupes distincts).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.