PhenIXUS

[jibe]

Salut,

... et ne pas verrouiller sa session quand on a collé le post-it sur l'écran pour retrouver facilement le mot de passe, c'est quand même un comble

Bon, on se moque, mais ça ne veut pas dire qu'on croit que c'est comme ça chez toi, letordu ! Simplement, ce sont des choses qu'on voit tellement souvent qu'on en devient un peu (trop ?) méfiant devant des affirmations non étayées : pas besoin de nous dire que des groupes C et D justifient ton affirmation que SME ne fait pas l'affaire : les tableaux que je demande mettront ces groupes en évidence

[letordu]

Bonsoir tous le monde !

Tout d'abord, je suis d'accord sur le fait qu'il ne faut pas tous mélanger, j'ouvrirai un autre poste pour le problème du VPN, qui soit dit en passant, n'est a priori plus un problème du tout...

Alors j'ai bien suivi vos avis, et comme demandé j'ai fait une analyse de la situation au moyen d'un petit tableau :

http://entraide.ixus.net/download/file.php?mode=view&id=96

Vous pouvez constater que mon problème ce situ donc au niveau de l'i-bay "Observation psychiatre" qui à des droits d'accès un peu plus compliqué. Pour les autres partages, aucun problème...

Il est vrai aussi, qu'entre les demandes de confidentialités et la pratique des utilisateurs il y a souvent un monde ! Hier, dans une entreprise pour laquelle je travail, on ma demandé de changer le mot de passe de session car elle pensait être "épié" ou "piraté". La personne avait laisser son nouveau mot de passe plus de deux heures trainer sur son clavier et la session ouverte !!! Allez comprendre...

En tous cas j’essaie simplement de trouver des solutions techniques aux contraintes que l'on me soumet... Le client ne veux pas se plier au restriction de la machine, mais me presse pour que je les contourne ou que je trouve d'autres solutions techniques... Et ce n'est pas simple de lui faire comprendre qu'il est difficile de s'adapter lorsqu'il fait évoluer les contraintes de semaines en semaines...

Enfin j'espère que cela pourra vous éclairer. Et j'espère vraiment que vous allez faire mentir le début du poste et que vous allez me dire que cela n'est pas un problème pour SME ! Je me sens encore un peu frileux à mettre un serveur debian en production avec Samba configurer "à la main" !!! ça c'est encore bon pour mes bidouilles de test !

Personne n'a répondu a ma question sur la modification des templates, c'était surement une question très bête mais si quelqu'un à de la docs qui pourrais m'éclairer, je suis tous ouie...

[jibe]

Salut,

Tout d'abord, une petite remarque d'ordre pratique : la charte exige que les images restent visibles "à vie" afin que les posts restent compréhensibles. Il est possible de joindre des images à un post, qui seront hébergées sur le serveur d'Ixus et resteront toujours visibles. Utiliser ce moyen n'est pas obligatoire, mais si l'hébergeur utilisé ici ne garantit pas l'accessibilité aux images "à vie", merci d'en trouver un qui le fasse ou d'utiliser le serveur d'Ixus.

Concernant ton problème de droits d'accès, je vois qu'il est déjà bien analysé ! Les groupes et les ibays sont déjà faits ! Je pense que, de même, tu as déjà défini les droits sur les ibays. Le problème est effectivement simple, hormis pour les fichiers de type "Observation psychiatre". Voici ce que je ferais :

Code : Tout sélectionner

ibay                         groupe                         droits
------------------------------------------------------------------
Admin Jeunes            Secrétaires de direction            EGLT
Gestion                 Secrétaires de direction            EGLG
Informatique            Everyone                            EGLT
Medic Jeunes            Infirmières                         EGLT
Projets perso           Educateurs                          EGLG

Droits : EGLT = Ecriture=Groupe, Lecture=Tous - EGLG = Ecriture=Groupe, Lecture=Groupe

Pour les fichiers "Observation psychiatre", la solution est à vérifier : je suis presque sûr de l'avoir fait, mais j'ai quand même un petit doute. Elle consisterait simplement à mettre un mot de passe à l'ibay correspondante. Cette ibay serait attribuée au groupe Psychiatres avec les droits EGLT, ce qui fait que seuls les psychiatres auraient les droits d'écriture, et tous les autres les droits de lecture. Seuls les infirmières auraient le mot de passe, donc elles seules auraient accès en lecture.

Si pour une raison quelconque ce n'était pas possible de faire ainsi, SME ne conviendrait effectivement pas. Tout au moins dans sa version "out of the box" : il serait bien entendu possible de faire un template-custom pour permettre d'avoir des droits différents. Reste à savoir s'il vaut mieux partir sur une distrib plus souple ou modifier SME...

Personne n'a répondu a ma question sur la modification des templates, c'était surement une question très bête mais si quelqu'un à de la docs qui pourrais m'éclairer, je suis tous ouie...

Non, ce n'était pas une question bête, simplement comme je l'ai dit, je déconseille SME s'il faut la bricoler : une autre distrib est souvent préférable. Cela dit, j'ai plusieurs SME en prod avec des template-customs ! Faites ce que je dis, ne faites pas ce que je fais Mais bon, j'estime connaître un peu SME

La référence pour "débutants" en matière de templates, c'est bien sûr le site de Grand-Pa. La vraie référence reste bien sûr le manuel du développeur.

[letordu]

Pardon pour l'images, je le referais plus

Dès que possible je vais faire le test avec un mot de passe pour réserver l'accès à l'i-bays "observation psychiatre". En effet c'est une solution que j'avais un peu écarté. Je pensais qu'on pouvait jouer directement sur les droits sans infliger un nouveau mot de passe à l'utilisateur, qui n'est souvent pas très ouvert à la multiplication des mots de passe. Je sais ce que vous allez répondre "il faut savoir ce qu'on veut !" et je suis complètement d'accord avec ça. Mais la négociation est parfois assez compliqué...

Merci pour les liens sur la modification des templates. En réalité, avec un peu de recherche, je l'ai est trouvés hier soir, juste après avoir publié mon poste, et je n'est pas eu le temps de vous tenir informé.
Cela est jouable, mais en effet c'est un peu de la bidouille ! Surtout que j'ai un handicape certain, je ne parle pas le PERL ! Alors forcement c'est moins facile... :lol J'ai peur de faire plus de mal que de bien, surtout que mes connaissances de SME sont pour le moment limités...

Je test en ce moment la solution ClearOS qui semble beaucoup plus souple au niveau de la gestion des droits. Après cela veut-il dire plus de portes ouvertes et donc plus de problèmes de sécurité ? Je ne sais pas trop...
J'ai également commencé à configurer Samba sur une Debian. La question est la même, cela paraît relativement "simple" de prime abord, mais si le fichier de configuration sous SME fait 280 lignes, cela ne doit pas être du hasard... Alors avoir une distrib plus souple c'est bien, mais si c'est au dépend de la sécurité et se retrouver avec une vrai configuration de "bidouilleur"...

Je vais un peu rejoindre jibe, même si le terme est en effet impropre, mais mieux vaut peu être quelques "sacrifices"...

EDIT : Solution des mots de passes testé, mais cela ne fonctionne pas...en effet les mots de passes sur les i-bays n'ont aucun effet lors que l'on y accède en LAN. Cela marche uniquement en cas d'accès FTP...

[letordu]

J'ai peut être trouvé la solution...je n'ai pas encore pu tester, mais j'aimerai bien avoir votre avis là dessus !

Après recherche j'ai trouvé ce howto : http://smeserver.pialasse.com/index.php/Ibay_droits

Il consiste donc à faire des templates custums pour élargir les choix possible dans les droits d'accès aux i-bays.
Cette solution est-elle valable ?

[jibe]

Salut,

Pardon pour l'images, je le referais plus

Pas grave, mais il faut que tu héberges ton tableau ailleurs si tu n'es pas certain qu'il soit conservé à vie ! Je penses que tu comprends l'importance de cela : si d'ici quelque temps l'image disparait, le post qui la contient et tout ce qui suit devient incompréhensible. Or, le but est que si quelqu'un a le même problème, il puisse se servir de ce qui est expliqué ici ! Donc, sauf si tu es sûr de la pérennité de ton hébergement, édites ton post et remets ton tableau en pièce jointe. J'aimerais confirmation de ta part soit que l'hébergement est sûr, soit que tu as fait le nécessaire. Merci.

Solution des mots de passes testé, mais cela ne fonctionne pas...en effet les mots de passes sur les i-bays n'ont aucun effet lors que l'on y accède en LAN. Cela marche uniquement en cas d'accès FTP...

Oui, c'est bien ce qui est dit dans la doc ! Je ne sais pas pourquoi je croyais l'avoir déjà fait, mais je dois confondre

Cela est jouable, mais en effet c'est un peu de la bidouille ! Surtout que j'ai un handicape certain, je ne parle pas le PERL ! Alors forcement c'est moins facile... :lol J'ai peur de faire plus de mal que de bien, surtout que mes connaissances de SME sont pour le moment limités...

Non, ce n'est pas de la bidouille : si tu regardes de près, tu verras que c'est bien conçu. Lors d'un changement de configuration, SME relit ses templates pour reconstruire les divers fichiers de configuration. Si quelqu'un modifie des fichiers de configuration (lors d'une intrusion par exemple), ils seront régénérés dans leur version d'origine à la première occasion (forçage manuel ou événement déclenchant automatiquement cette régénération).

Et la génération se passe de la manière suivante : si un template-custom existe, c'est lui qui est pris en compte. Sinon, c'est le template d'origine. Donc, si on veut désinstaller quelque chose qu'on a mis en place par un template-custom, on peut le désinstaller très simplement en supprimant le template-custom et en forçant la régénération. Tout est propre et net !

C'est d'ailleurs un peu plus complet/complexe, puisqu'il y a encore les template-user et template-user-custom...

Si je déconseille de "bricoler" sa SME, ce n'est pas parce que les template-custom sont "de la bidouille", mais plutôt parce que, comme tu le constates au moins partiellement, il faut être un bon ingé système, pratiquant le perl, pour bien comprendre ce qu'on fait. Et dans ce cas, on sait aussi installer une debian et on se rend compte que c'est souvent une meilleure solution, parce que plus simple et plus souple ! C'est donc un simple conseil de bon sens : quand on ne sait pas, on ne touche pas et on ne joue pas aux apprentis-sorciers. Et si on sait, on n'a pas besoin de poser la question

Après recherche j'ai trouvé ce howto : http://smeserver.pialasse.com/index.php/Ibay_droits

Il consiste donc à faire des templates custums pour élargir les choix possible dans les droits d'accès aux i-bays.
Cette solution est-elle valable ?

Je ne peux pas répondre positivement sans réserve : je ne l'ai jamais testée !

Cela dit, JPP aka unnilennium connait très bien SME, a développé plusieurs contribs, correspond régulièrement avec l'équipe de dev de SME... bref : est quelqu'un de très fiable. De plus, j'ai quand même eu la curiosité de regarder comment il a fait ça et je pense que c'est correct et propre.

En plus, tu ne risques pratiquement rien : tu mets en place, tu testes. Si ça ne fonctionne pas comme prévu, tu retires le template-custom, tu refais l'expand-template et après redémarrage de samba, il suffit de remettre en place les droits voulus via le server-manager : tous les fichiers de l'ibay verront leurs droits remis à la bonne valeur !

Juste une petite précision : la méthode donnée par JPP pour restituer les droits d'origine fait son job (enfin, je pense !) mais sans désinstaller la modif. Pour la désinstaller, il faut bien enlever le template-custom.

[Cool34000]

Salut,

Je voudrais pas avoir l'air de troller, mais il y a un OS qui fait cela depuis trèèèèèèès longtemps...
Gestion des droits très fins (utilisateurs, groupes), gestion de stratégies (applicables à des ordinateurs et/ou des utilisateurs)... Et le tout en gestion centralisé...
Son nom ? Bah Windows Server avec le service Active Directory installé dessus

Je n'ai jamais compris pourquoi tant d'obstination à installer du libre...
Le libre n'est pas LA solution à tout, parfois il faut savoir mettre la main au porte monnaie

NTFS powa !

[sibsib]

Hello,

Je me réveille après la bataille

@letordu :Si je peux me permettre une réflexion par rapport à ton tableau, je ne comprend pas ce qui est des dossiers, et ce qui est des groupes d'utilisateurs ! Également, pour l'informatique, qui a tous les droits, peut-on considérer que les informaticiens sont tous membres du groupe 'admin' ? Sachant que ce groupe a pleins de pouvoirs sur la machine...
Enfin, dans l'idée : chaque utilisateur a un compte sur SME, pour peut-on envisager que tous les 'psys' se connectent avec le compte 'psy' sur SME ? Je parle au niveau de samba, rien à voir avec la messagerie...
Si on triche de cette façon (mais je crains que ce ne soit pas acceptable dans le monde médical !) je vois bien des solutions.

Sinon, alors les restrictions ne viennent pas vraiment de SME, mais du pauvre filesystem Linux (tant qu'on n'utilise pas selinux). En fait, il n'est pas facile du tout de créer un dossier avec :

Un groupe de personne ayant un accès en lecture/écriture
Un groupe de personne ayant uniquement des accès en lecture
Et le reste du monde qui n'a rien

Je répète, il s'agit d'une restriction Linux. Maintenant, il me semble que Samba propose des méthodes de contournement (en gérant sa propre base de droits), mais , un, je ne suis pas sûr, et deux, dans ce cas là, effectivement, on peut imaginer que SME ne sera plus tout à fait 'out of the box'

J'ai l'impression que le problème soulevé est un peu plus complexe que ce que la solution de jpp permet

Mes deux cents,
Pascal

[sibsib]

Bon, il m'interpelle, ton problème...

Avant même de parler technique, es-tu en concurrence avec un serveur Windows ? Parce que quelques 'rapides' lectures sur le net confirment que la gestion des droits diverge fortement (sauf à avoir des extensions de droits Posix implémentés sur le FS Linux, ce qui ne semble pas forcément super fréquent...)

Ceci dit, s'il est admissible de gérer tes 'petits problèmes de droits' au niveau de chaque partage, il semble y avoir des solutions dans la conf Samba qui ne seraient même pas 'usine-à-gazesque'

Mais attention :
1) çà va être assez spécifique
2) si demain, dans le même partage, on te demande un sous-dossier avec des droits différents (genre psy-enfants et psys-adultes) tu es mort !

Ce que je te dis est également vrai en montant une distro Linux par toi-même, dans ce cas, SME n'est pas encore une complication.

Maintenant, dans ta qualification SME, tu étais parti sur quoi ?
SME 7.5.1 = Samba 3.0.33
SME 8 beta 7 = Samba 3.5.10

A+,
Pascal

[sibsib]

Hello,

Je suis parfois lent pour me lancer, mais après, on ne m'arrête plus

Sans réponse de ta part, j'ai fait des tests sur SME8, mais à priori, la fonction samba utilisée dépend de samba 3.x, donc pourrait aussi fonctionner sur sme 7

En gros :
Les droits Unix/linux sont assez limités par défaut, il n'est pas prévu d'affecter des droits différents sur le même dossier en fonction de groupes différents.
Samba propose plusieurs réponses à ce problème, dont un certain nombre n'ont pas leur place sur une SME
Il y a cependant une approche assez sme compatible : utiliser l'option "read list"

Attention : je viens de faire quelques tests rapides, il y a un vrai effort de validation à faire avant d'aller plus loin.
De plus, la solution utilisée ici consiste à donner au niveau du FS unix un droit en RW, et à demander à samba de bloquer le mode écriture. Les puristes de la sécurité apprécieront... de manière plus pragmatique, ceci impose que l'ibay ne soit accédé que via samba ! Sino, c'est mort !

bref, mon exemple :
J'ai créé sur ma machine :
10 utilisateurs, répartis dans 5 groupes :
psy1 et psy2 dans le groupe psys
inf1 et inf2 dans le groupe infs
doc1 et doc2 dans le groupe docs
amb1 et amb2 dans le groupe ambs
adm1 et adm2 dans le groupe adms

mon objectif :
créer une ibay nommée spec avec les membres des groupes psys et infs en RW, et les membres des groupes docs et ambs en RO (les autres : pas d'accès)
pour ce faire, j'ai créé un groupe special dans lquel j'ai mis les 2 * 4 membres des groupes autorisés (RO et RW)
j'ai créé une ibay spec sans ftp, sans cgi en mode lecture groupe, ecriture groupe, géré par le groupe special

A ce moment, j'ai bien testé que mes huits utilisateurs avaient accès en lecture et ecriture (logique !)

J'ai modifié dans le fichier /etc/samba/smb.cong, la section de l'ibay spec :

Code : Tout sélectionner

[spec]
comment = ibay a acces speciaux
path = /home/e-smith/files/ibays/spec/files
read only = no
writable = yes
printable = no
inherit permissions = yes
create mode = 0660
read list = @ambs, @docs

(J'ai simplement ajouté la dernière ligne)

suivi d'un

Code : Tout sélectionner

service smb restart

A partir de là, les membre des groupes ambs et docs n'avaient plus accès qu'en lecture.

Cette modif est facilement templatisable, mais avant de templatiser, est ce que ceci répond à ta demande ?

(Et, comme je te le disais précédemment, attention : il est possible que la prochaine demande ne soit pas réalisable !)

A+,
Pascal