[Résolu] Configuration particulière FTP

[mtill]

Bonjour,

Pour commencer, il faut savoir que je suis débutant sous Linux (première install il y a 2 mois). Voilà pourquoi je me suis dirigé vers SME : je suis dans le brouillard complet sans interface graphique.
Je travaille dans une PME qui souhaite mettre en place un petit serveur FTP pour échanger des gros fichiers avec quelques collaborateurs extérieurs.
Voici où j'en suis :

ADSL ------ IPCOP ------- VERT = domaine Windows
------- ORANGE = SME sur lequel tourne le serveur FTP

Tout fonctionne à merveille (si j'avais su je serais venu plus tôt vers Linux).

Seul problème : voici comment on souhaiterait que ça marche :
- les users seraient plus ou moins fixes (un nouveau de temps à autres)
- on ouvre un répertoire FTP par dossier traité
- on donne les droits voulus sur les dossiers à des groupes
- l'appartenance d'un user à un groupe change en fonction des dossiers sur lesquels il travaille.

J'aimerais que le user se connecte au FTP et arrive dans une racine où il ne verrait que les dossiers auxquels il a accès.

Est-ce possible ? J'ai essayé via les i-bays : pas très concluant, il ya des sous-dossiers que je ne parviens pas à supprimer, le user voit tous les dossiers même ceux auxquels il n'a pas accès, ...

Est-ce que SME est la bonne solution ? Si oui, par où commencer ?

Merci d'avance pour votre aide

[Muzo]

Bonjour,

Désolé, mais je crains que tu ais fais le mauvais choix. SME n'est pas du tout fait pour cela.

Etant donné que tu as un ipcop, et que tu ne veux faire que du ftp, il te sera beaucoup plus aisé de géré une Debian ou un Unbuntu Server (malheureusement sans interface graphique, mais ca on s'y fait vite) avec un serveur ftp tel proftpd (celui de SME) installé dessus.

[mtill]

Bon, il va falloir que je me plonge là-dedans alors.

Sur le principe simplement, est-il possible avec proftpd d'avoir une racine contenant tous les dossiers et que les utilisateurs ne voient que les dossiers auxquels ils ont accès ?

Exemple :

Racine FTP
- projet1
- projet2
- projet3
- ...

User1 se loggue sur mon FTP : il voit projet1 et projet3

User2 se loggue et voit projet1 et projet2

User3 se loggue et voit tout

Merci

[Muzo]

En fait (là je parles de ma petite expérience sous FileZilla Server sous ouindozz), tu va créer des répertoires sur ton serveur linux et via ton server ftp autorisé tel group à lire tels répertoires, et tel autre group à lire tels autes répertoire, avec possibilité d'avoir un répertoire commun..

[mtill]

J'ai aussi testé filezilla server sous windows. C'est nickel, il fait exactement ce que je recherche. Mais d'après tout ce que j'ai pu lire, c'est pas terrible au niveau sécurité et stabilité de mettre un FTP sous Windows. C'est pour ça que je cherchais dans le monde (nouveau pour moi) de Linux.

Que penses-tu niveau sécurité de mettre un Filezilla Server dans la DMZ derrière IPCOP ?

[Pabze]

Oui et Non...

Désolé j'ai mis 30 minutes à taper et à tester ...
Parce ce que pas si évident à mettre en oeuvre ...
D'abord récupérer le rpm dungog-chroot sur le site de dungog.net
SME6 : http://sme.dungog.net/packages/smeserve ... noarch.rpm
SME7 : http://sme.dungog.net/packages/smeserve ... noarch.rpm
(Voir s'il n'y a pas de dépendance sur son site)

Je me lance !
Nous aurons 4 Utilisateurs :

Pierre, Paul, Jacques, Stanislas

Nous aurons un ibays : Travaux
Et dans Travaux 5 Projets :

PROJET01, PROJET02, PROJET03, PROJET04, PROJET05

Ainsi que quatres groupes :

ACCES_MI, FULL_MI, MISSION01, MISSION02

D'abord créer les utilisateurs sur la SME sans leur affecter de groupes.

Puis créer les groupes sans leurs affecter d'utilisateurs.
Créer l'ibays « travaux » avec les paramètres suivants :

Nom de l'info-baie : travaux
Description : Répertoire de travaux en cours
Groupe : ACCES_MI
Accès de l'usager par le partage de fichiers ou le protocole FTP : Écriture=Groupe, Lecture=Groupe
Accès public par le Web ou le protocole FTP anonyme : Aucun accès
Exécution du contenu dynamique (CGI, PHP, SSI) : Désactivé

Depuis le server-manager tu auras un onglet « User Remote Access »
Dans celui-ci pour tes 4 Utilisateurs tu sélectionnes "bash" et le répertoire chroot /travaux/files

Une fois effectué on va créer les répertoire de missions :

cd /home/e-smith/files/ibays/travaux/files/
mkdir PROJET01 PROJET02 PROJET03 PROJET04 PROJET05
Et on donne les droits à FULL-MI
chown root:full_mi *

Pierre est le boss, donc on place Pierre dans le groupe :
FULL_MI ainsi que ACCES_MI, MISSION01 et MISSION02

Paul et Jacques travail ensemble sur les projets 01 03
On les places alors dans le groupe MISSION01 et ACCES_MI

Stanislas travail sur le projet 05
On les places alors dans le groupe MISSION02 et ACCES_MI

Les projets 02 et 04 personnes, le clients n'a pas encore réglé !

Et on change les droits des dossiers 01, 03 et 05

chown root:mission01 PROJET01 PROJET03
chown root:mission02 PROJET05

Ainsi, chaque utilisateurs qui se connectent voient l'arborescence suivante :
../
PROJET01 root:mission01
PROJET02 root:full_mi
PROJET03 root:mission01
PROJET04 root:full_mi
PROJET05 root:mission02

Mais seules Paul et Jacques pourront accéder et écrire dans PROJET01 et PROJET03
Mais il ne pourront ni accéder, ni lister et donc encore moins écrire pour le PROJET02 PROJET05 et le PROJET04 etc ...

Je sais ce n'est pas évident dans l'écriture mais une fois mis en place cela va très vite !

Tu me diras pourquoi 4 Groupes ?
Simple
Parce que l'on créer l'ibays sur le groupe ACCES_MI et pour que tous puissent se connecter, il doivent faire partie du groupe ACCES_MI. Mais, faisant partie du groupe ACCES_MI ils ont accès à tout !
Donc en créant un groupe FULL_MI on donnent l'accès aux autres répertoires non attribué à l'administrateur (Pierre) faisant partie de ce groupe (et de ACCES_MI pour se connecter)

Donc le groupe FULL_MI n'est pas obligatoire, si tous les dossiers PROJETxx sont attribués !

Le tout est de données les bons droits aux répertoires racine (PROJETxx) à la création !

Pabze

[Pabze]

Re,

Petite precision !
Une fois tous les répertoires créés, et les droits donnés, ne pas s'amuser à modifier l'ibays par le server-manager !
Bah oui, il mettra alors tous les dossiers et fichiers avec les droits attribués à l'ibays !

Pabze [Mode HowTo power off]

[mtill]

WAW !!!

Je vais prendre un moment pour digérer ça et le tester.
Ca a l'air pas mal du tout, chapeau.

à plus tard et merci

[Pabze]

Re,

Le tout est de faire un schéma !
Qui fait quoi ? Ou a t'l le droit d'aller ... etc !

Une fois ton ibays créée, tes users créés, et les associer aux groupes adéquat, il n'y plus que du "chown" à faire sur les répertoires racine (PROJETxx) à coup de chown root:groupe_qui_va_bien !

Bon courage,
Pabze

[Grand-Pa]

Une fois ton ibays créée, tes users créés, et les associer aux groupes adéquat, il n'y plus que du "chown" à faire sur les répertoires racine (PROJETxx) à coup de chown root:groupe_qui_va_bien !

L'idéal serait même de créer un script contenant tous les chown et chmod. De cette façon si, pour une raison ou pour une autre les droits changent, il suffira de repasser le script pour tout remettre d'aplomb.

Et en plus, un script à une meilleur mémoire que nous quand il faut refaire une opération après plusieurs mois...

[Muzo]

Pabze!

je n'avais jamais songé à voir le ftp de la SME sous cet angle. Tellement plus simple!

[Pabze]

Bonjour,


Merci les amis !

Grand'Pa ! Oui l'idéal est le script déjà que mon bureau est tapissé de tableau blanc pour noter la moindre chose... alors retenir les droits de dixaine de repertoires quelques mois aprés...
Et comme je ne dois pas être le seul à oublier 30 secs aprés ! Bien joué !

Je me vois tous les lundi matin sortir de réunion, une fois arrivé dans mon bureau je me souviens en moyenne d'un tiers de ce que les gens m'ont dit... dur...

Mon médecin m'avait dit "Pabze, (oui parce qu'il m'appel aussi Pabze ) si tu ne te force pas à travailler ta mémoire, tu finiras par ne plus savoir rentrer chez toi !"
Je ne l'ai pas travaillé, comme ça j'ai une excuse pour ma femme lorsque je tombe en embuscade...

Pabze [MODE GRAND'PA & MUZO POWER !!!!!!!!!!!!]

[mtill]

Merci à tous,

après avoir testé un peu la solution de Pabze, je l'ai adoptée et je vais fonctionner comme ça.
Ce qui me manquait c'était le rpm dungog-chroot.
Je remets un bon disque dur, un peu de RAM et je mets tout ça en place.

[jean2si]

Bonjour

j'ai appliqué ta méthode de Pabze, tout marche Nickel...Grand merci
Par contre, je ne sais pas comment procéder pour dire que tel groupe, ne peut que lire dans tel ou tel projet.

Ton aide sera trés appréciée

Cdlt

SME 7.1 sur IBM xséries 2x 160 SATA raid 1

[unnilennium]

[mode suggestion ON]

et un custom-template prenant en compte une propriété de l'ibay afin d'eviter un chown -r en cas de mise à jour des ibays ?


[mode suggestion OFF]