H

[guygox]

Bonjour,

J'ai créé des utilisateurs des groupes sur le syno et une arborescence. Je rencontre quelques problèmes liés à l'héritage des droits.

J'ai certains sous dossiers/fichiers que les utilisateurs ne peuvent pas modifiés (nom et intérieurs) alors qu'ils font bien parti des utilisateurs autorisés en lecture écriture...Comment faire hériter les droits correctement (fait étrange sur d'autres dossiers les droits sont OK).

D'autre part, est il possible de figer une arborescence de dossiers mais qu'à l'intérieur les utilisateurs puissent créer d'autres dossiers/fichiers?

En règle générale, quel est la meilleure façon de gérer les droits : Faire de plus en plus restrictifs les droits ou d'ouvrir de plus en plus les droits?

Avec un Active Directory aurais je plus de souplesse sur les droits? Si oui, peut on se passer de l'AD avec un openldap sur le Synology?

Merci

Info : La version DSM est la dernière.

[CoolRaoul]

Tu as activé les acl sur le partage?

[PiwiLAbruti]

D'autre part, est il possible de figer une arborescence de dossiers mais qu'à l'intérieur les utilisateurs puissent créer d'autres dossiers/fichiers?

À ma connaissance, non.

En règle générale, quel est la meilleure façon de gérer les droits : Faire de plus en plus restrictifs les droits ou d'ouvrir de plus en plus les droits?

De manière générale, plus on avance dans les sous-dossiers plus les droits sont restrictifs.

Le problème n'est donc pas d'avoir une souplesse démentielle dans la gestion des droits, mais plutôt de mettre en place une arborescence des dossiers la plus simple possible. La gestion des droits s'en trouve grandement simplifiée par la suite.

Avec un Active Directory aurais je plus de souplesse sur les droits? Si oui, peut on se passer de l'AD avec un openldap sur le Synology?

La gestion des droits se fait au niveau du système de fichiers, pas au niveau du LDAP.

DSM applique parfois mal les droits. Pour avoir personnellement subi quelques échecs avec l'interface graphique, je préfère m'en remettre directement aux commandes chown et chmod via SSH/Telnet.

Par contre cette méthode est beaucoup plus dangereuse car contrairement au DSM il n'y a pas d'alerte pour dire qu'on est en train de faire n'importe quoi, ni d'ajustement automatique.

[guygox]

Non je n'ai pas activé les ACL sur le syno car pour moi cela n'était utile que dans le cas d'un Active Directory. J'avais testé sur un des partages. En montant le partage sur un PC Windows et en faisant un clic droit, propriétés, sécurité, en essaynt d'ajouter des utilsateurs en séléctionnant le syno dans "emplacement" aucun des users créés ne remontaient. Et remonter les users locaux de ma machine ne me servait à rien... Je suis intéressé par de sinfos sur la gestion des ACL sur les Syno si cela peut m'aider dans ma gestion de droits..

Pour répondre à PiwiLAbruti sur la gestion des droits, ma question portait en fait sur le fait de gérer les droits par les ACL en récupérant les users d'un LDAP quelconque.

Pour la gestion des droits et le changement en chmod, comme je dois faire accéder deux groupes par exemple en lecture écriture, changer les droits du groupe propriétaire ne m'avancera pas trop je pense. Sinon comment faire?

Un ls -l me donne : drwx------ 9 root root 4096 Feb 21 18:40 G_Vie_agence.

Modifié le 14 mars 2012 par guygox

[CoolRaoul]

Non je n'ai pas activé les ACL sur le syno car pour moi cela n'était utile que dans le cas d'un Active Directory. J'avais testé sur un des partages. En montant le partage sur un PC Windows et en faisant un clic droit, propriétés, sécurité, en essaynt d'ajouter des utilsateurs en séléctionnant le syno dans "emplacement" aucun des users créés ne remontaient. Et remonter les users locaux de ma machine ne me servait à rien... Je suis intéressé par de sinfos sur la gestion des ACL sur les Syno si cela peut m'aider dans ma gestion de droits..

Pour répondre à PiwiLAbruti sur la gestion des droits, ma question portait en fait sur le fait de gérer les droits par les ACL en récupérant les users d'un LDAP quelconque.

Pas besoin de ldap ni d'AD pour utiliser les ACL. Une fois activées, dans les propriétés de sécurité des fichiers du syno tu va avoir acces aux comptes et groupes du syno tout simplement.

Et ca marche .

Faut juste savoir que les ACL sont prioritaires par rapports aux droits unix ("ugo") , et que pour les modifier en ligne de commande c'est un peu galère car la commande qui fait ça ("/usr/syno/bin/synoacltool") n'est tout simplement pas documentée (on a juste un résumé de syntaxe si on le lance sans arguments)

De plus (il me semble que c'est que que depuis la DSM 4), on peut modifier les ACL dans l'interface de file station.

Modifié le 14 mars 2012 par CoolRaoul

[PiwiLAbruti]

De plus (il me semble que c'est que que depuis la DSM 4), on peut modifier les ACL dans l'interface de file station.

Exact, j'ai encore une vision hyper archaïque de la gestion des droits alors que Synology nous a mâché le travail.

[guygox]

Bon je vais retester pour les ACL. Par contre il faut que je me connecte aux partages avec un user particulier (admin par exemple) ou juste avec un user qui a les droits en lecture/ecriture?

Merci à tous les deux en tout cas.

[guygox]

Juste un truc, j'ai voulu retourner sur le Syno et lorsque je lance le panneau de conf ou le navigateur de fichier rien ne s'affiche j'ai en haut l'icone avec un rond qui tourne...J'ai redémarré mais sans succès.

J'ai accès à l'état de mon stockage et tout à l'air OK (disque, raid, volumes).

Modifié le 15 mars 2012 par guygox

[CoolRaoul]

Bon je vais retester pour les ACL. Par contre il faut que je me connecte aux partages avec un user particulier (admin par exemple) ou juste avec un user qui a les droits en lecture/ecriture?

User normal,

Bien entendu pour modifier l'acl faudra que ce user ait les droits appropriés sur le fichier ou le dossier à modifier

Juste un truc, j'ai voulu retourner sur le Syno et lorsque je lance le panneau de conf ou le navigateur de fichier rien ne s'affiche j'ai en haut l'icone avec un rond qui tourne...J'ai redémarré mais sans succès.

J'ai accès à l'état de mon stockage et tout à l'air OK (disque, raid, volumes).

peut-être essayer avec un autre navigateur?

Tu n'aurait-pas installé une extension genre "adblock" ou similaire?

[guygox]

Effectivement en passant de DSM 3.2 à la 4 je vois correctement mes ACL mais je ne peux que ajouter ou enlever des permissions à des users à partir d'un poste Windows mais pas ajouter de nouveaux users (il me redemande de m'authenitifer il accepte mais ne me renvoie pas la liste des users du Syno alors que je suis bien dans le même groupe de travail...). Mais je peux sous FileStation les modifier donc pour l'instant à moins que vous ayez une solution rapide, ça n'est pas grave.

Par contre les utilisateurs veulent mettre une arbo un peu particuliere du type :

Dossier1-SousDossiers1-NomdeClient (Nom de Client est variable suivant le client). No mde client continet d'autres sous dossiers. Le dossier1 doit etre en lecture/ecrtiure pour le groupe1 et en lecture seule pour le groupe2. Il veulent dans ce dossier crééer un répertoire de type template qui contient l'arbo d'un dossier avec les bons droits. Sur le template j'ai bien modifier les droits comme voulus mais des que je le copie/Colle, la copie du dossier réhérite des droits. J'ai essayé avec un user ayant les droits pour copier le dossier mais sans la modif/lecture des attribue, non propriétaire du dossier mais sans succès.

Vous avez une idée des droits corrects à mettre pour que cela fonctionne? Sur le SousDossier1 j'ai coupé l'héritage des droits et les ai remis à la main pour tester, j'ai essayé en modifiant le fichier /usr/syno/etc/smb.conf en mettant inhertit permissions = no ... MAis encore une fois sans effet.

[CoolRaoul]

Me semble que la solution passerait par l'ajout d'une entrée d'acl explicite sur "template" pour l'entité "groupe créateur"

Malheureusement cela ne semple pas supporté par l'implémentation samba du synology (on dispose uniquement de "createur propriétaire")

EDIT:

Bon, je me corrige: en plus du problème ci dessus, faut prendre en compte que tout simplement l'explorateur Windows ne conserve pas les ACL lors d'un copier/coller.

Suffit donc que les droits du répertoire cible soient appropriés et tous dossier copié a l'intérieur de ce dernier en héritera.

Modifié le 24 mars 2012 par CoolRaoul

[guygox]

Justement le problème c'est que le dossier parent a des droits différents, il y a après des sous-dossiers sur lesquels je dois dans ce cas manuellement modifier les droits...

Par contre si je mets rendres les permissions implicites et comme permissions dans Ecriture, supprimer des sous-dossiers et des fichiers, mais pas supprimer. Si un user créé des dossiers, ces derniers héritant des droits, pourrons t'ils être supprimés (sachant que si on fait un clic droit sur le dossier créé dans File Station, permission, on voit logiquement que la case supprimer est décocher donc pour moi à priori il ne pourra être supprimé).

MAis dans ce cas comment utiliser cette option?

Faut il dans les sous dossier tout le temps couper l'héritage???

Merci

[CoolRaoul]

Quelqu'un aurait-il de l'aspirine dans l'assistance?

Si un user créé des dossiers, ces derniers héritant des droits, pourrons t'ils être supprimés

Déja faire un essai ...