Admin Et Droits Sur Homes

[edlapoignee]

Bonjour,

Je comprend bien le principe du répertoire "homes" qui regroupe les "home" de chaque utilisateur a partir du moment où l'option "accueil utilisateur" est cochée, néanmoins, je me pose une question concernant les droits d'accès a ce dossier "homes" qui je pensais était par défaut en RW pour l'admin.

En effet, je m'attendais à voir le dossier "homes" apparaitre en m'authentifiant en tant qu'admin, mais ce n'etait pas le cas, je ne vois même pas le dossier depuis l'interface DSM (or je le vois depuis favoris réseau par exemple).

Je suis allé vérifier les droits de l'utilisateur admin sur ce dossier, et effectivement je m'apercois que j'ai un "NA" pour le dossier "homes", je remonte un peu plus haut en regardant a quel groupe d'utilisateur appartient l'admin, et là je m'apercois qu'il fait partit du groupe par défaut "user" (??) qui lui n'a effectivement pas le droit sur "homes"... ce qui me parait logique.

J'ai donc essayé de créer un groupe "admin" qui aurait le droit RW sur homes, mais en revenant dans l'onglet d'appartenance aux groupes d'utilisateur de mon compte admin, je m'apercois qu'il n'est pas possible de lui décocher l'appartenance a users, je peux bien lui ajouter l'appartenance au groupe admin, mais du coup la priorité des privilèges pose toujours problème (NA>RW) et je n'ai donc toujours pas d'accès au repertoire "homes"

J'ai donc pensé faire l'inverse, laisser le compte admin dans le groupe users, autoriser le groupe users a accéder en RW sur homes, puis mettre une réstriction NA sur chacun de mes utilisateurs, mais je pense qu'il doit exister une autre solution plus propre ?

Je suis sûr d'avoir louper quelque chose... mais rien n'indique dans la doc (a premiere vue) l'obligation (??) pour un nouvel user d'appartenir au groupe users (??)... ce qui effectivement paraît tellement logique quand on le dit, mais me chagrine pour mon compte admin ^^

[edlapoignee]

D

[edlapoignee]

Je suppose que le fait de monter un partage sur \volume1\homes ne résoudra pas le problème, etant donné que mon utilisateur admin sera toujours membre du groupe "users" qui n'autorise pas par défaut le RW sur "homes".

Du coup, je suis partit sur la solution d'autoriser les "users" a RW sur "homes", et j'ai créé un nouveau groupe qui ne donne pas d'accès à "homes". Chaque utilisateur autre que admin sera membre des 2 groupes, et vu que le plus restrictif sera gagnant, ca sera le "pas d'acces" qui primera sur les droits de "homes".

C'est tordu ! (ou je suis tordu ^^)

[Patrick21]

Bonjour

les droits sur le dossiers "homes" sont bien en RW pour seulement l'admin par défaut

si tu vas sur filestation tu le verras en te connectant en "admin" seulement

tu peux egalement vérifier sur le fichier /usr/syno/etc/smb.conf

[homes]

invalid users=nobody,nobody

valid users=nobody,admin,nobody

comment="user home"

path=/volume1/homes

guest ok=yes

browseable=yes

ftp disable list=no

ftp disable modify=no

ftp disable download=no

read list=nobody,nobody

write list=nobody,admin,nobody

writeable=yes

et c'est normal de ne pas l'avoir dans le parametrage des dossiers partagés

Patrick

[edlapoignee]

Alors le probl

[Patrick21]

Alors le problème c'est que je l'ai dans les paramétrages de dossiers partagés (depuis DSM).

C'est d'ailleurs ce qui m'a permis d'autoriser le groupe "users" en RW dessus (donc modifiables?)

Je confirme donc, mon utilisateur admin (créé par défaut) n'avait pas les droits sur homes car membre du groupe users qui n'avait pas d'accès sur "homes".

Je vérifie ce soir le fichier smb.conf, je n'ai pas encore activé le ssh et je suis au travail (areuhm ^^)

je rectifie : il n'est pas proposé dans l'attribution des droits quand on est sur un user dans les privilèges

et les droits sur le dossiers "homes" sont bien en RW pour seulement l'admin par défaut (mais modifiables)

et c'est normal de l'avoir dans les dossiers partagés (pour pouvoir le supprimé si besoin) mais aucun droits sauf sur l'user admin - pas sur les groupes

mais tout cela est le fonctionnement normal du dossiers homes et comme le dit cricx on devrait retirer les droits à l'admin et c'est possible par le manager

as tu bien compris que les droits peuvent etre attribué à un user ou a un groupe

Patrick

[edlapoignee]

je rectifie : il n'est pas propos

[Patrick21]

ca du changer dans la dsm 3.0 car moi en 2.2 je l'ai pas (oui effectivement sur la demo 3.1 c'est comme cela)

par contre il faut faire la difference entre ne pas attribu

[edlapoignee]

Hihi, oui on va resituer le problème

Ce que je veux faire :

Je voudrais que mon utilisateur "admin" qui a été créé par défaut ait accès en RW sur le dossier "homes", ce qui n'est pas le cas.

Le problème (non non je ne radote pas ^^)

A chaque fois que je créé un utilisateur, il est par défaut dans le groupe "user", et je ne peux pas le retirer de ce groupe (case impossible a décocher?)

Or, l'utilisateur "admin" est aussi dans ce groupe "user", et je ne peux pas le retirer de ce groupe non plus. (case impossible a décocher?)

Solution envisagée

Pour donner un accès RW sur "homes", on pourrait imaginer donner un accès RW a seulement l'utilsateur admin, mais ce n'est pas possible, car étant dans le groupe "user", ce RW sera écrasé par les priviliges de "users" (qui sont pas d'accès).

Donc la seule solution serait de mettre un RW sur le groupe users, mais si je laisse comme ca, bé.. tous mes users vont avoir accès a "homes", sauf si pour chacun d'entre eux je coche "NA" sur ce dossier...

(edit, je crois que j'ai trouvé d'ou vient le problème en écrivant ce post récapitulatif, j'y reflechis et je vous tiens au courant)

[edlapoignee]

J'ai donc bien trouv

[Patrick21]

J'ai donc bien trouv

[Ronparchita]

J'ai donc bien trouvé d'où venait le problème, (...)

Je vais essayer de "copier" la manip. J'ai tellement fichu la pagaille que de l'interieur comme de l'exterieur je ne parvenais plus qu'au dossier "home" ayant perdu l'acces a tous les autres. Situation ridicule. J'ai reussi à tout débloquer sans savoir en fin de compte ou est et ou n'est pas la securité.

J'ai aussi du mal à comprendre la logique d'un systeme qui ne donne pas tous les droits à l'administrateur y compris de s'interdire visiblement l'acces de fichiers privatifs.

Si certains maitrisent bien le sujet, je serais tres heureux qu'ils me disent comment faire pour que l'acces des utilisateurs soit blindé par rapport à l'Internet, (sauf 2) mais que tous leurs fichiers puissent etre ouverts et ecrits par tous sur le reseau interne sans qu'ils puissent modifier ces regles.

Et aussi que l"Admin" pour ce "nom" transparent soit banni de tous les acces.

Enfin, comment créer un "super" administrateur tout puissant avec un nom humain qui puisse gerer totalement le Syno de l'intérieur et de l'extérieur du reseau et qui puisse disposer d'un dossier privatif invisible de tous les autres utilisateurs.

J'ai fait une recherche sur le site mais 248 pages m'ont rebutées.

Je suis en version 3.2 sur un 108J

D'avance merci

Modifié le 1 novembre 2011 par Ronparchita

[Sp@r0]

Pour les droits l'admin à tous les droits sur le synology, y compris celui de s'interdire l'accès à certains répertoires

Pour ce qui est de la sécurité de ton installation il faut que tu nous dise précisément ce que tu veux faire (type d accès, configuration de la box, activation ou non du bannissement auto .....)

Pour ce qui est d'admin il n'est malheureusement pas possible de le renommer ....

[Ronparchita]

Pour les droits l'admin à tous les droits sur le synology, y compris celui de s'interdire l'accès à certains répertoires

Merci pour la reponse Sp@r0

Est-ce qu'en cas d'intrusion dans le dossier, cela apparaitra ?

Pour ce qui est de la sécurité de ton installation il faut que tu nous dise précisément ce que tu veux faire (type d accès, configuration de la box, activation ou non du bannissement auto .....)

Le banissement je l'ai activé

C'est la Freebox V4 qui sert de routeur avec une conection filaire sur le Syno lequel est en reseau grace à une borne Airport et une conection filaire sur mon iMac, je suis pour le moment "admin" (j'explique plus avant pourquoi je voudrais etre administrateur en portant un autre nom)

Les autres utilisateurs U1 U2 U3 U4 etc sont connectés en wifi sur le réseau interne

Il y a deux types de repertoires

Les Repertoires Accessibles RA1 RA2 RA3 etc accessibles par tous.

Les Repertoires Privés RP1 et RP2 sont seulement accessibles respectivement par l'administrateur et U1 en reseau interne et ne doivent pas apparaitre aux autres utilisateurs. Ils doivent egalement etre accessibles par leurs utilisateurs via Internet

Enfin, l'administrateur doit avoir les droits pour pouvoir eteindre le Syno en interne et via Internet

Pour ce qui est d'admin il n'est malheureusement pas possible de le renommer ....

J'avais vu ça sur le site mais pas moyen de retrouver le sujet. La proposition etait de circonvenir tous les acces à admin et de creer un utilisateur avec un nom ordinaire comme Blanche Neige et de lui donner tous les pouvoirs

L'idee etait de compliquer la vie des nuiseux en n'offrant pas de repere ou concentrer tous leurs efforts comme "admin" le fait innocemment.

[Sp@r0]

Si tu as activer le bannissement et que tu mets des mots de passes forts (au moins 8 caractères, avec au moins une majuscule, un chiffre et un caractère non alphanumérique) il n y a pas de risques

Tu ne m'as pas précisé comment tu accédais au donneés à distance (file station, WebDAV. Partage de fichier, ...) quels ports de la freebox as tu rediriger vers ton nas

[Ronparchita]

Si tu as activer le bannissement et que tu mets des mots de passes forts (au moins 8 caractères, avec au moins une majuscule, un chiffre et un caractère non alphanumérique) il n y a pas de risques

Bonjour,

Je pense que nous ne nous sommes pas compris.

Ce que j'ai detaillé dans mon message precedent, ce sont mes besoins.

Mon probleme est que je ne sais pas comment je peux arriver à configurer le Syno pour y arriver. Le mot de passe compliqué est un detail qui pour moi va de soi, tout le reste me manque.

Tu ne m'as pas précisé comment tu accédais au donneés à distance (file station, WebDAV. Partage de fichier, ...) quels ports de la freebox as tu rediriger vers ton nas

Pour le moment c'est la vraie cata. Je n'ai rien (ré)activé, je veux dire ni coché FS, WD, etc Pourtant si je tente via Net2ftp sur mon adresse IP et que je mentionne admin et tape mon mdp, j'accede à tout les repertoires, toujours vides car je n'ai pas rechargé.

Si je pouvais bloquer ça simplement dans l'attente d'avoir resolu le probleme que me pose ma config, je serais tres heureux.

Il y a un autre probleme que j'aimerais solutionner. J'ai verifié mon adresse d'email sur mon profil, j'ai également pu verifié que je suis ce sujet et en depit de ça, ça fait 2 fois que je n'ai pas été informé de tes reponses. Quand on intervient sur un sujet, l'avis de reponse qui suit, n'est on pas informé automatiquement ? Y a t-il une manip qui m'ait échappée. J'ai cherché partout avant d'envoyer ma reponse en passant ^par apercu pour voir s'il n'y avait pas une case à cocher, je n'ai rien vu.

Pour le port, si c'est tres important, je verifierai, mais j'ai dû suivre un tuto de ce site pour pouvoir accéder du Net à mon Syno et donc inscrire le port recommandé.

[bb31]

Bonjour

Ce post n'est pas d'aujourd'hui, mais même plus de 2 ans après, il continue à rendre service : j'avais exactement le même pb d'accès à homes pour le user admin... et la même cause.

Donc, rci de m'avoir aidé à résoudre ce pb, qui sans être fondamental, était agaçant.

[S4phir]

Bonjour

Ce post n'est pas d'aujourd'hui, mais même plus de 2 ans après, il continue à rendre service : j'avais exactement le même pb d'accès à homes pour le user admin... et la même cause.

Donc, rci de m'avoir aidé à résoudre ce pb, qui sans être fondamental, était agaçant.

Idem pour moi. Merci !