Salut,
quand on cree un utilisateur, il se crée un repertoire qui lui est propre et auquel seul cet utilisateur a acces.
Y a t'il un moyen pour que admin puisse rentrer dans ces repertoires privés ?
Accéder aux repertoires utilisateurs avec admin
Modérateur: modos Ixus
12 messages
• Page 1 sur 1
Accéder aux repertoires utilisateurs avec admin
par cedriczone » 16 Sep 2004 10:44
- cedriczone
- Quartier Maître
- Messages: 19
- Inscrit le: 10 Mai 2004 11:41
par cedriczone » 16 Sep 2004 11:03
Deja, merci pour ta réponse rapide...
J'ai cree un utilisateur "bobby"
Ben, si je cree un lecteur reseau par exemple pointant sur \\serveur\bobby avec comme utilisateur et mot de passe : "bobby" et "motdepasse" ca marche.
Si je fais la même chose mais en entrant en tant que "admin" et "motdepasseadmin" il me refuse l'acces.
J'ai cree un utilisateur "bobby"
Ben, si je cree un lecteur reseau par exemple pointant sur \\serveur\bobby avec comme utilisateur et mot de passe : "bobby" et "motdepasse" ca marche.
Si je fais la même chose mais en entrant en tant que "admin" et "motdepasseadmin" il me refuse l'acces.
- cedriczone
- Quartier Maître
- Messages: 19
- Inscrit le: 10 Mai 2004 11:41
par grosbedos » 16 Sep 2004 11:28
je pense que c'est normal..
il faudrait modifier la config samba, creer un partage "administration" qui pointe vers /home/e-smith/files par exemple (en ni donnant acces qu'a l'utilisateur admin).
apres tu pourrais monter un lecteur reseau en demandant \\serveur\administration\users\bobby par exemple.
il faudrait modifier la config samba, creer un partage "administration" qui pointe vers /home/e-smith/files par exemple (en ni donnant acces qu'a l'utilisateur admin).
apres tu pourrais monter un lecteur reseau en demandant \\serveur\administration\users\bobby par exemple.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par Mael » 16 Sep 2004 11:38
Salut
En utilisant "nomduserveur\admin" comme login et son mdp sme, tu auras accès à tous les
repertoires en lecture et écriture.
Ca marche chez moi avec une sme6 sans modification de samba.
Mael
En utilisant "nomduserveur\admin" comme login et son mdp sme, tu auras accès à tous les
repertoires en lecture et écriture.
Ca marche chez moi avec une sme6 sans modification de samba.
Mael
-
Mael - Capitaine de vaisseau
- Messages: 312
- Inscrit le: 12 Oct 2002 00:00
- Localisation: France
par grosbedos » 16 Sep 2004 11:40
et il y a aussi un problème au niveau des droits sur les repertoires..
l'utilisateur admin ni a pas accès, donc meme si tu modif samba, va falloir modif les permissions du système de fichier, et intégrer le compte admin aux différents groupes des utlisateurs (admin dans le groupe bobby par exemple..)
l'utilisateur admin ni a pas accès, donc meme si tu modif samba, va falloir modif les permissions du système de fichier, et intégrer le compte admin aux différents groupes des utlisateurs (admin dans le groupe bobby par exemple..)
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par cedriczone » 16 Sep 2004 11:46
Pour Mael: j'avais essayé mais c'est pareil.
Peut etre chez toi tu as monté ton SME comme controleur de domaine,
moi ce n'est pas le cas et même avec nomserveur\admin ca ne fonctionne pas mieux.
Sinon les manip de modifications samba me paraissent complexes tout de même pour arriver a faire ca.
Peut etre chez toi tu as monté ton SME comme controleur de domaine,
moi ce n'est pas le cas et même avec nomserveur\admin ca ne fonctionne pas mieux.
Sinon les manip de modifications samba me paraissent complexes tout de même pour arriver a faire ca.
- cedriczone
- Quartier Maître
- Messages: 19
- Inscrit le: 10 Mai 2004 11:41
par grosbedos » 16 Sep 2004 11:46
de ce que j'en ai vu, les repertoires des utilisateurs ne peuvent ni etre vu, ni modifier etc...par le compte admin..
ils sont en 700 ces repertoires, avec comme owner le dit utilisateur.
ils sont en 700 ces repertoires, avec comme owner le dit utilisateur.
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
-
grosbedos - Amiral
- Messages: 1493
- Inscrit le: 27 Sep 2002 00:00
par sibsib » 16 Sep 2004 21:05
Salut, Tous,
En effet, vous faites une légère gourance :
Le compte qui a tous les droits sous Unix, c'est root.
Admin est un compte presque comme un autre. C'est une bidouille (l'usage intensif du bit 'setuid' - que j'ai parfois appelé improprement le 'sticky bit
) qui permet de faire l'administarion de la machine avec ce compte admin.
Mais par rapport aux droits sur les fichiers des users : nada.
Par contre, il est possible de monter un partage avec le compte root (c'est ce que je fais quand je mets à jour mon serveur Web qui est dans l'I-Bay primary).
Je précise que mon SME (6.0.1) n'est pas controleur de domaine.
Donc, au final, si un 'admin' doit pouvoir voir les données de tout le monde, il faut :
1) créer un partage samba au niveau de /home/e-smith/files (existe peut-être ??? --- passage par SME : non, n'existe pas en standard)
2) monter ce partage sur le poste de l'admin en utilisant le compte root de SME.
A+,
Pascal
En effet, vous faites une légère gourance :
Le compte qui a tous les droits sous Unix, c'est root.
Admin est un compte presque comme un autre. C'est une bidouille (l'usage intensif du bit 'setuid' - que j'ai parfois appelé improprement le 'sticky bit
) qui permet de faire l'administarion de la machine avec ce compte admin.
Mais par rapport aux droits sur les fichiers des users : nada.
Par contre, il est possible de monter un partage avec le compte root (c'est ce que je fais quand je mets à jour mon serveur Web qui est dans l'I-Bay primary).
Je précise que mon SME (6.0.1) n'est pas controleur de domaine.
Donc, au final, si un 'admin' doit pouvoir voir les données de tout le monde, il faut :
1) créer un partage samba au niveau de /home/e-smith/files (existe peut-être ??? --- passage par SME : non, n'existe pas en standard)
2) monter ce partage sur le poste de l'admin en utilisant le compte root de SME.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par cedriczone » 16 Sep 2004 21:58
Merci SibSib,
comment réaliser ce partage ? en créant une template du fichier smb.conf ?
comment réaliser ce partage ? en créant une template du fichier smb.conf ?
- cedriczone
- Quartier Maître
- Messages: 19
- Inscrit le: 10 Mai 2004 11:41
par sibsib » 17 Sep 2004 22:13
Salut,
Plus pour la 'beauté du geste' qu'autre chose, j'ai testé c'taffaire'...
Bon, be careful ! J'assure pas le SAV
Contenu de /etc/e-smith/templates-custom/etc/smb.conf/50admin
2-3 commentaires :
Le fichier 50Admin sert à créer un nouveau partage. Comme /etc/smb.conf est templatisé, le fichier est un fragment de template.
Mais ceci ne suffit pas, car le user root n'est pas connu par défaut de Samba.
D'ou les deux commandes smbpasswd -a (pour ajouter un user) et -e (pour l'activer).
Ceci rentre dans un fichier qui ne semble pas templatisé. Je n'ai pas fait des milliard de tests non plus...
Une fois tout ceci fait, il reste à se connecter à la ressource :
net use k: \\{add ip du serveur}\Admin /user:root
Pourquoi @ IP ? Un vieux truc de LanMan : Microsoft refuse qu'on se connecte deux fois sur la même machine avec des users différents. Donc, si le user sur le poste s'est déjà connecté avec son compte perso sur le serveur SME, on est Woilou.
Seulement, voilà... C'est de la sécu à Bill ! Donc, on ne peut pas se signer deux fois avec des users différents en utilisant le nom de la machine, mais on peut se signer deux fois en utilisant une fois le nom de la machine et une fois l'IP de la machine
D'après mes premiers tests, çà marche ... plus ou moins !
En fait, dans les I-Bays, çà gaze plutôt bien. Ceci parce que d'une part, on a positionné le
inherit permissions = yes
Et que le setguid bit est positioné sur les i-bays d'autre part.
Par contre, dans les home directory des users : root a accès à tout (je crois que c'était le but
) mais par contre, s'il crée un fichier, il a un peu tendance a être du genre root/root, ce qui n'est pas hyper pratique pour un user...
Bon, à voir si çà peut servir à quelque chose.
Plus pour la 'beauté du geste' qu'autre chose, j'ai testé c'taffaire'...
Bon, be careful ! J'assure pas le SAV
- Code: Tout sélectionner
[root@gw1]smb.conf-# mkdir -p /etc/e-smith/templates-custom/etc/smb.conf
[root@gw1]smb.conf-# pwd
/etc/e-smith/templates/etc/smb.conf
[root@gw1]smb.conf-# cp /etc/e-smith/templates/etc/smb.conf/50printers /etc/e-smith/templates-custom/etc/smb.conf/50admin
[root@gw1]smb.conf-# vi /etc/e-smith/templates-custom/etc/smb.conf/50admin
[root@gw1]smb.conf-# vi /etc/smb.conf
[root@gw1]smb.conf-# vi /etc/e-smith/templates-custom/etc/smb.conf/50admin
Contenu de /etc/e-smith/templates-custom/etc/smb.conf/50admin
- Code: Tout sélectionner
{
# A vérifier : l'impact des droits sur le fonctionnement
}
[admin]
comment = Partage des administrateurs
path = /home/e-smith/files
browseable = no
guest ok = no
writable = yes
printable = no
inherit permissions = yes
create mode = 0660
- Code: Tout sélectionner
[root@gw1]smb.conf-# /sbin/e-smith/expand-template /etc/smb.conf
[root@gw1]smb.conf-# service smbd restart
Stopping smbd: [ OK ]
Starting smbd: [ OK ]
[root@gw1]smb.conf-# service nmbd restart
Stopping nmbd: [ OK ]
Starting nmbd: [ OK ]
[root@gw1]samba-# smbpasswd -a root
New SMB password:
Retype new SMB password:
Added user root.
[root@gw1]samba-# smbpasswd -e root
Enabled user root.
2-3 commentaires :
Le fichier 50Admin sert à créer un nouveau partage. Comme /etc/smb.conf est templatisé, le fichier est un fragment de template.
Mais ceci ne suffit pas, car le user root n'est pas connu par défaut de Samba.
D'ou les deux commandes smbpasswd -a (pour ajouter un user) et -e (pour l'activer).
Ceci rentre dans un fichier qui ne semble pas templatisé. Je n'ai pas fait des milliard de tests non plus...
Une fois tout ceci fait, il reste à se connecter à la ressource :
net use k: \\{add ip du serveur}\Admin /user:root
Pourquoi @ IP ? Un vieux truc de LanMan : Microsoft refuse qu'on se connecte deux fois sur la même machine avec des users différents. Donc, si le user sur le poste s'est déjà connecté avec son compte perso sur le serveur SME, on est Woilou.
Seulement, voilà... C'est de la sécu à Bill ! Donc, on ne peut pas se signer deux fois avec des users différents en utilisant le nom de la machine, mais on peut se signer deux fois en utilisant une fois le nom de la machine et une fois l'IP de la machine
D'après mes premiers tests, çà marche ... plus ou moins !
En fait, dans les I-Bays, çà gaze plutôt bien. Ceci parce que d'une part, on a positionné le
inherit permissions = yes
Et que le setguid bit est positioné sur les i-bays d'autre part.
Par contre, dans les home directory des users : root a accès à tout (je crois que c'était le but
) mais par contre, s'il crée un fichier, il a un peu tendance a être du genre root/root, ce qui n'est pas hyper pratique pour un user...
Bon, à voir si çà peut servir à quelque chose.
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
12 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)