Bonjour à tous,
c'est une question un peu bizarre, mais je voudrais savoir si c'est possible.
j'ai un serveur samba (linux) avec des users qui se connectent dessus, et des droits sur des rep/fichiers pour chaque
user dans smb.conf (jusque là tout est normal)
j'ai un serveur SFTP (sur le meme server linux que samba) (ssh configuré et opérationnel), un seul user (root) configuré
avec ses clés privée et publique. ça fonctionne très bien avec winscp (client SFTP sous windows).
Dans la suite de ce message, je parle de Paul comme d'un user qui a quelques droits sur certains repertoires.
je voudrais creer des cles privees/publiques pour chaque user, qui se connecteront sur le SFTP avec winscp. Le probleme
est le suivant :
est-il possible de repercuter les droits d'acces de chq user dans samba, pour les appliquer à SFTP, de maniere a ce que
lorsque un user se connecte avec winscp sur le server SFTP, il ne voit que ce qu'il a le droit de voir (droits samba de
ce user) ?
Lorsque Paul se connecte avec winscp au server SFTP, il voit tout, absolument tout. Certes il ne peut pas créer de
répertoire/fichiers dans des chemins comme /etc, mais par contre il peut récupérer tous les fichiers du serveur sans
exception.
et là c un mega probleme
Je voudrais que samba dise au SFTP ce que PAUL peut voir, si c'est possible.
faut-il faire un 2eme fichier de config, pour le serveur SFTP, qui contiendrait les droits des users ?
dans samba Paul peut voir :
/volume1/bboa
/volume1/public
/volume1/photo
et ne peut pas voir :
/volume1/opt
/volume1/save
et le seul endroit dans le système, où ces droits sont gérés, c'est dans smb.conf (le fichier de config de samba)
autre exemple :
lorsque paul se connecte en FTP (pas SFTP) avec filezilla sur le serveur FTP (pas SFTP), il ne voit que ce que je lui ai
autorisé a voir dans samba.
je voudrais qu'il en soit de même pour SFTP (avec winscp)
j'espere avoir ete assez clair dans ma question, en esperant une reponse.
merci à tous
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
ygg
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
20.08.2006 12:59 - kiko /
Que l'on soit connecté d'une manière sécurisé ou non, les droits unix
sont ceux de l'utilisateur propriétaire du processus. Connecté avec root
--> droits root. Il faut gérer les droits pour chaque utilisateur.
J'utilise une annuaire openldap dans un domaine windows-linux avec
support des acl. C'est une solution trés souple.
J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La
question était longue et j'ai pas encore pris le café.
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
kiko
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci
20.08.2006 12:59 - kiko /
Que l'on soit connecté d'une manière sécurisé ou non, les droits unix
sont ceux de l'utilisateur propriétaire du processus. Connecté avec root
--> droits root. Il faut gérer les droits pour chaque utilisateur.
J'utilise une annuaire openldap dans un domaine windows-linux avec
support des acl. C'est une solution trés souple.
J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La
question était longue et j'ai pas encore pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation
merci
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci
ygg
21.08.2006 21:59 - kiko /
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne semble pas être le cas. Par contre ce que je dis sur les droits reste d'actualité. Je me suis connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un protocole ftp, c'est un équivalent windows de la commande Unix scp avec possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh n'a pas vocation à réduire les droits de l'utilisateur connecté, comme un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même façon que toi l'arborescence de mon prestataire internet (/etc par exemple). Rien d'étonnant à cela. Le système Unix est historiquement "ouvert". La plupart des fichiers systèmes sont accessibles en lecture seule pour tout le monde aprés l'installation. Tu peux donc interdire l'accés à tous les fichiers du système aux "autres" et utiliser l'association winscp-ssh. Le système local ne sera utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le sens pas. Ou bien trouver un protocole client-serveur du type ftp sécurisé avec des options de publications de répertoires comme sur un serveur ftp. Je ne connais pas d'extension sécurisé du protocole FTP. +
21.08.2006 21:59 - kiko /
20.08.2006 12:59 - kiko /
Que l'on soit connecté d'une manière sécurisé ou non, les droits unix
sont ceux de l'utilisateur propriétaire du processus. Connecté avec
root --> droits root. Il faut gérer les droits pour chaque
utilisateur. J'utilise une annuaire openldap dans un domaine
windows-linux avec support des acl. C'est une solution trés souple.
J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La
question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap
dans cette situation
merci
Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne
semble pas être le cas.
Par contre ce que je dis sur les droits reste d'actualité. Je me suis
connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un
protocole ftp, c'est un équivalent windows de la commande Unix scp avec
possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh
n'a pas vocation à réduire les droits de l'utilisateur connecté, comme
un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même
façon que toi l'arborescence de mon prestataire internet (/etc par
exemple). Rien d'étonnant à cela. Le système Unix est historiquement
"ouvert". La plupart des fichiers systèmes sont accessibles en lecture
seule pour tout le monde aprés l'installation.
Tu peux donc interdire l'accés à tous les fichiers du système aux
"autres" et utiliser l'association winscp-ssh. Le système local ne sera
utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le
sens pas.
Ou bien trouver un protocole client-serveur du type ftp sécurisé avec
des options de publications de répertoires comme sur un serveur ftp. Je
ne connais pas d'extension sécurisé du protocole FTP.
+
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne semble pas être le cas. Par contre ce que je dis sur les droits reste d'actualité. Je me suis connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un protocole ftp, c'est un équivalent windows de la commande Unix scp avec possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh n'a pas vocation à réduire les droits de l'utilisateur connecté, comme un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même façon que toi l'arborescence de mon prestataire internet (/etc par exemple). Rien d'étonnant à cela. Le système Unix est historiquement "ouvert". La plupart des fichiers systèmes sont accessibles en lecture seule pour tout le monde aprés l'installation. Tu peux donc interdire l'accés à tous les fichiers du système aux "autres" et utiliser l'association winscp-ssh. Le système local ne sera utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le sens pas. Ou bien trouver un protocole client-serveur du type ftp sécurisé avec des options de publications de répertoires comme sur un serveur ftp. Je ne connais pas d'extension sécurisé du protocole FTP. +
kiko
21.08.2006 21:59 - kiko /
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne semble pas être le cas. Par contre ce que je dis sur les droits reste d'actualité. Je me suis connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un protocole ftp, c'est un équivalent windows de la commande Unix scp avec possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh n'a pas vocation à réduire les droits de l'utilisateur connecté, comme un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même façon que toi l'arborescence de mon prestataire internet (/etc par exemple). Rien d'étonnant à cela. Le système Unix est historiquement "ouvert". La plupart des fichiers systèmes sont accessibles en lecture seule pour tout le monde aprés l'installation. Tu peux donc interdire l'accés à tous les fichiers du système aux "autres" et utiliser l'association winscp-ssh. Le système local ne sera utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le sens pas. Ou bien trouver un protocole client-serveur du type ftp sécurisé avec des options de publications de répertoires comme sur un serveur ftp. Je ne connais pas d'extension sécurisé du protocole FTP. + merci beaucoup pour cet éclaircissement !
j'ai bien compris maintenant. encore merci
21.08.2006 21:59 - kiko /
20.08.2006 12:59 - kiko /
Que l'on soit connecté d'une manière sécurisé ou non, les droits unix
sont ceux de l'utilisateur propriétaire du processus. Connecté avec
root --> droits root. Il faut gérer les droits pour chaque
utilisateur. J'utilise une annuaire openldap dans un domaine
windows-linux avec support des acl. C'est une solution trés souple.
J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La
question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap
dans cette situation
merci
Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne
semble pas être le cas.
Par contre ce que je dis sur les droits reste d'actualité. Je me suis
connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un
protocole ftp, c'est un équivalent windows de la commande Unix scp avec
possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh
n'a pas vocation à réduire les droits de l'utilisateur connecté, comme
un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même
façon que toi l'arborescence de mon prestataire internet (/etc par
exemple). Rien d'étonnant à cela. Le système Unix est historiquement
"ouvert". La plupart des fichiers systèmes sont accessibles en lecture
seule pour tout le monde aprés l'installation.
Tu peux donc interdire l'accés à tous les fichiers du système aux
"autres" et utiliser l'association winscp-ssh. Le système local ne sera
utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le
sens pas.
Ou bien trouver un protocole client-serveur du type ftp sécurisé avec
des options de publications de répertoires comme sur un serveur ftp. Je
ne connais pas d'extension sécurisé du protocole FTP.
+
merci beaucoup pour cet éclaircissement !
20.08.2006 12:59 - kiko / Que l'on soit connecté d'une manière sécurisé ou non, les droits unix sont ceux de l'utilisateur propriétaire du processus. Connecté avec root --> droits root. Il faut gérer les droits pour chaque utilisateur. J'utilise une annuaire openldap dans un domaine windows-linux avec support des acl. C'est une solution trés souple. J'espère que ma réponse n'est pas trop bizarre voire hors sujet. La question était longue et j'ai pas encore pris le café.
j'ai pris le café.
merci pour cette réponse, mais je ne peux pas monter d'annuaire ldap dans cette situation merci Effectivement ma réponse était hors sujet. Un annuaire ne se justifie
que dans un environnement peuplé de nombreux utilisateurs. Ce qui ne semble pas être le cas. Par contre ce que je dis sur les droits reste d'actualité. Je me suis connecté avec winscp depuis xp sur mon serveur ssh. Ce n'est pas un protocole ftp, c'est un équivalent windows de la commande Unix scp avec possibilité de parcourir l'arborescence (cf sa licence). Le serveur ssh n'a pas vocation à réduire les droits de l'utilisateur connecté, comme un serveur FTP. Le terme SFTP est trompeur. Je peux parcourir de la même façon que toi l'arborescence de mon prestataire internet (/etc par exemple). Rien d'étonnant à cela. Le système Unix est historiquement "ouvert". La plupart des fichiers systèmes sont accessibles en lecture seule pour tout le monde aprés l'installation. Tu peux donc interdire l'accés à tous les fichiers du système aux "autres" et utiliser l'association winscp-ssh. Le système local ne sera utilisable que par les personnes autorisées. Je n'ai pas testé. Je ne le sens pas. Ou bien trouver un protocole client-serveur du type ftp sécurisé avec des options de publications de répertoires comme sur un serveur ftp. Je ne connais pas d'extension sécurisé du protocole FTP. + merci beaucoup pour cet éclaircissement !
