Gestion des droits en réseau, comment faire

[alpseb]

Hello,
Je bosse avec un collège... on est 2 dans notre boite, on a 2 macbook pro sous X.6
on est en réseau wifi (freebox)

son ordi fait office de disque de travail, je bosse direct dans les dossiers de projet sur sa machine.

j'ai un compte admin sur sa machine, il en a une sur la mienne
sur nos 2 machines, on est dans le même groupe.

le problème est que quand je crée un fichier sur ma machine et que je le colle sur la sienne, il est verrouillé.
il n'est autorisé que pour moi, on doit donc changer les permissions à la mains.

avez vous une idée de comment faire pour que etout ce que je crée soit en lecture/écriture pour everyone et que tout ce que je pose chez lui soit aussi en lecture/écriture pour everyone ?

merci d'avance

[LSCC]

C'est une histoire de droit : tu es en lecture seule par défaut chez ton collègue.
Regarde ici :
http://www.debutersurmac.com/tutoriels/Leopartage.html
Récupère la vidéo et regarde là tranquille.

[LSCC]

Voici le lien direct  :
http://www.debutersurmac.com/jenm4e/Media/reseau.mov
Regarde la seconde partie : Mac à Mac

[alpseb]

C'est une histoire de droit : tu es en lecture seule par défaut chez ton collègue.
Regarde ici :
http://www.debutersurmac.com/tutoriels/Leopartage.html
Récupère la vidéo et regarde là tranquille.

j'ai regardé, mais c'était pas vraiment ça mon problème.
j'ai vu d'autre avoir le même sur d'autre forum, sans que personne ne trouve de solution
j'ia testé un truc au terminal sans succès

[LSCC]

Ah Bon ?
As-tu essayé en modifiant ses droits afin qu'il soit en lecture ET écriture ?
Bilan ?

[alpseb]

Ah Bon ?
As-tu essayé en modifiant ses droits afin qu'il soit en lecture ET écriture ?
Bilan ?

oui oui...
le problèmes c'est pas que je ne puisse pas accéder a ses fichiers, ya pas de problèmes pour ca,
je problèmes c'est si je crée un fichier sur ma machine et que je le copie sur la sienne, lui n'y a pas accès... je à priori rien n'est prévu pour ca...

a certains endroits un me conseil de bosser sur une partition sans gestion de droits comme du fat 32 par exemple...

dur dur de bosser sous mac
je sais pas comment font les pros ? personne a de serveur mac j'imagine

[alpseb]

Oui oui....
j'ai aussi essayé tout ce que permetait le menu "compte"

quand il fait un fichie sur sa machine, vu que j'ai un compte admin chez lui, j'y ai accès sans problèmes, et inversement sur la mienne,
le problème c'est quand je fait un fichier sur MA machine et que je le colle sur la sienne (voire que je le crée directe chez lui depuis mon ordi)

c'est son mac os qui détermine les droits, et le seul a avoir les droits c'est moi...
mais le groupe dans lequel on est tous les 2, le groupe admin, le groupe staff... n'ont pas accès au fichier !
il est simple d'y acceder en faisant un pomme I et modifiant les droits mais c'est ultra lourd à gérer pour chaque fichier... on fait du dev, à la moindre classe ou au moindre png que j'ajoute chez lui, il faut le refaire.

[Pascal Méheut]

Pourquoi ne pas monter ses disques sur ta machine en précisant "Se Connecter comme" et choisir son utilisateur ?

Je fais ca entre un MacMini et un MacPro chez moi et ca marche. Sinon, le serveur de fichier dans MacOS X permet de faire ce que tu veux mais curieusement, sur MacOSX Server. Sur les machines normales, je ne trouve pas si c'est paramétrable et où...

[Guy-Michel]

Pourquoi ne pas monter ses disques sur ta machine en précisant "Se Connecter comme" et choisir son utilisateur ?

Je fais ca entre un MacMini et un MacPro chez moi et ca marche. Sinon, le serveur de fichier dans MacOS X permet de faire ce que tu veux mais curieusement, sur MacOSX Server. Sur les machines normales, je ne trouve pas si c'est paramétrable et où...

> Sinon, le serveur de fichier dans MacOS X permet de faire ce que tu veux mais curieusement, sur MacOSX Server. Sur les machines normales, je ne trouve pas si c'est paramétrable et où...
Pas besoin de MacOSX Server ni de NAS pour cela ; dans le cas précis, ça ne changerait d'ailleurs pas grand chose et on retomberait sur les mêmes problèmes, OSX Server étant loin de permettre de faire facilement ce que l'on veut.

Ne jamais oublier que MacOSX n'est rien d'autre que l'habillage graphique d'un bon vieil Unix. Les autorisations de partage sont toujours assez fastidieuses à affiner, notamment quand on glisse un document d'un dossier à un autre... n'ayant pas les mêmes droits. Il y a longtemps, sous AppleShare, le doc prenait automatiquement les autorisations du dossier où on le posait. C'était très pratique pour gérer des autorisations en cascade. Aujourd'hui, ce n'est plus le cas et on arrive à la situation que tu décris.

La solution la plus simple consiste à faire "Lire les Informations" sur le dossier partagé puis à modifier les autorisations de partage en mode "Lecture et écriture". Si vous n'êtes que deux sur le réseau, autoriser "Everyone". Sinon, régler les autorisations pour chaque utilisateur.
Il faudra effectuer ce paramétrage sur chaque machine où tu as un dossier partagé.

Pour aller au-dela, il faudra hélas passer en mode terminal et jongler avec les délices de la syntaxe  -rwxr-xr-x   
Il est  regrettable qu'aucune littérature simple n'explique comment mettre en place des stratégies de partage évoluées, pas plus sur Mac que sur les NAS. Partager un dossier entre deux utilisateurs est simple; gérer l'accès de nombreux utilisateurs à de gros volumes, tout en conservant un minimum de sécurité et en autorisant partages, échanges et travail de groupe nécessite de longues heures de tord-méninges.

Bon courage !

[alpseb]

mouhaha ! j'ai l'honneur d'une réponse du grand manitou !! 
merci à tous de vous penchez sur mon cas !

- pascal, c'est ce que je fait, "se connecter en temps que..."
tu utilise le meme compte sur les 2 machines quand tu fais ca ?

- GMC, oui, c'est ce que j'ai cru comprendre en fouillant un peu sur le web, tu me confirme donc que je suis pas fou... j'ai éssayer quelques commandes au terminal sans réussir à faire ce qeu je veux !

il n'y a pas de problèmes pour changer les autorisations de gros dossiers d'un seul coup, mais des que j'écrit un nouveau fichier, il faut refaire la manip !

c'est clair que le truc de apple share était mieux...

ca parait pas mal que le dossier prenne les autorisations du dossier (au moins en option)

bon, je vais continuer à faire du pomme + i alors

[Guy-Michel]

Pour faire simple...

Imaginons un "réseau" composé de deux Mac  :  Neuneu  et Gogol     

Tu crées un dossier "Partage" sur le Mac Neuneu  et tu autorises le partage de fichiers sur cette machine.
Tu déclares ce dossier en mode "Lecture-Ecriture" pour Everyone

Dès lors, tous les utilisateurs du réseau pourront faire ce qu'ils veulent dans ce dossier (Lire, Ecrire, Effacer, créer d'autres fichiers et dossiers) et tu ne seras pas embêté avec des blocages.

Faille : en procédant ainsi, le dossier partagé est ouvert à toute personne se connectant à ton réseau. Pour contourner ce hic, il faut avoir déclaré Gogol comme utilisateur... et alors, le folklore commence !
(J'espère que tout le monde appréciera ma charte de nommage des MacUsers !   Faut bien se défouler )

[LSCC]

Bon Alpseb, sans vouloir être désagréable, tu n'as pas du regarder la vidéo que je t'avais indiquée (http://www.debutersurmac.com/jenm4e/Media/reseau.mov) vers 6 min 35" ils en parlent.
Ap, ce n'est qu'une histoire de droit (permettre à certains de pouvoir y accéder). 

[Mark_]

Pour faire simple...

Imaginons un "réseau" composé de deux Mac  :  Neuneu  et Gogol     

Tu crée un dossier "Partage" sur le Mac Neuneu  et tu autorises le partage de fichier sur cette machine.
Tu déclares ce dossier en mode "Lecture-Ecriture" pour Everyone

Dès lors, tous les utilisateurs du réseau pourront faire ce qu'ils veulent dans ce dossier (Lire, Ecrire, Effacer, créer d'autres fichiers et dossiers) et tu ne seras pas embêté avec des blocages.

Faille : en procédant ainsi, le dossier partagé est ouvert à toute personne se connectant à ton réseau. Pour contourner ce hic, il faut avoir déclaré Gogol comme utilisateur... mais le folklore commence !
(J'espère que tout le monde appréciera ma charte de nommage des MacUsers !   Faut bien se défouler )

Ha! merci de mettre tout ça à ma portée, qualificatifs inclus 

On en cause sur l'autre fil avec des nas interposés. Je sens que l'exercice sera intéressant. 

[Pascal Méheut]

- pascal, c'est ce que je fait, "se connecter en temps que..."
tu utilise le meme compte sur les 2 machines quand tu fais ca ?

Oui ce qui règle le problème et qui est la solution la plus simple que je connaisse. Tu as comme seul inconvénient de perdre la trace de "qui a créé ce fichier". Mais j'en ai une autre je crois.

Sinon, il faut que tu trouves une façon de dire à la machine qui sert de serveur AFP qu'elle donne certains droits à tous les nouveaux fichiers. Ce qui est tjs compliqué entre machines Unix et encore plus quand tu n'as pas un serveur qui centralise les identités, groupes...

Dans ton cas, en permissions Unix classiques rwxrwxrwx, ca reviendrait à attribuer un umask par défaut ce qu'on fait facilement en Samba mais que je ne sais pas faire en AFP et qui n'a pas l'air d'être facile d'après la doc. Partager ton répertoire en Samba/SMB serait dommage entre 2 Macs mais ca dépend de l'usage. Ceci dit, ca n'est pas le truc le plus sympa à administrer.

Tu peux essayer ce que dit GMC mais je n'ai pas réussi à le faire marcher. Je tombais sur le même problème que toi. D'un autre coté, j'ai essayé 2 min et je ne connais pas forcément le sujet donc ca ne veut rien dire.

Au final, la solution que j'ai trouvé et qui marche chez moi dans une configuration identique à la tienne est :

- on suppose que ton répertoire s'appelle "/home/copain/partage" et que tu as 2 utilisateurs, alpseb et partage.
- tu vas dans le terminal et tu tapes :

chmod +a "alpseb allow list,search,add_file,add_subdirectory,delete_child,file_inherit,directory_inherit" /home/copain/partage

puis

chmod +a "copain allow list,search,add_file,add_subdirectory,delete_child,file_inherit,directory_inherit" /home/copain/partage

Ca utilise un autre système de permission dit ACL (Access Control List) et ca te donne tous les droits sur le répertoire et ca en fait hériter automatiquement tous les nouveaux fichiers et répertoires  (file_inherit,directory_inherit).
Puis, on fait la même chose pour le compte de ton copain.

Et maintenant, vous partagez les mêmes droits. Tu peux faire plus court et ne passer la même commande qu'une seule fois avec "everyone" ce qui revient à faire ce que GMC suggérait mais en garantissant l'héritage des droits sur les nouveaux fichiers mais qui par contre donnera le même accès à quiconque à accès à ton réseau. J'aime moins l'idée mais ca dépend de ton contexte.

[alpseb]

Bon Alpseb, sans vouloir être désagréable, tu n'as pas du regarder la vidéo que je t'avais indiquée (http://www.debutersurmac.com/jenm4e/Media/reseau.mov) vers 6 min 35" ils en parlent.
Ap, ce n'est qu'une histoire de droit (permettre à certains de pouvoir y accéder). 

si si j'ai regardé !
mais comme dis plus haut, si ca m'autorise l'accès a tous les fichiers présent dès que j'en met un nouveau, il garde ses droits !

je vais essayer de re-tester la méthode GMC, mais à priori c'est ce que j'ai déjà éssayé de faire 10x sans succès !

sinon, j'ia déja éssayé aussi la méthode de Pascal sans succès (avec staff, everyone, mon groupe, mon compte) je vais le refaire !
je vous tiens au courrant !

merci à vous !

[Tgd]

ne pourrait-on pas créer un répertoire qui donne permissions en lecture et écriture à tous les membres d'un groupe ?
Pour créer un groupe : http://pierrebauduin.blogspot.com/2008/04/creer-un-groupe-sous-mac-os-x.html

[Tgd]

j'ai trouvé ça aussi : http://www.xrings.net/xrings/breve.php3?id_breve=45&var_recherche=partage

[alpseb]

Bon alors !

je confirme que la méthode de gogol et neuneu ne marche pas (c'est le meme que celle de LCSS)
ca dévérouille bien tout, on a accès a tout mias des que je copie un fichier dans ce dossier, il ne prend pas les autorisations de ce dossier, il est en lecture seulle

la méthode de pascal de me loger avec le login de mon pote depuis ma machine résout tous les problèmes.

je vais tester la méthode de TGD, je vous tiens au courant !!
merci encore à tous

[oliver939]

j'ai un peu le meme probleme quand j'echange des fichiers entre mon MBP et mon IMac.

je me suis rendu que si je me connecté au mac "destination" et cree un fihcier ca foiré mais si dpeusi el fichier destination tu te connecte au mac source et que tu rapatrie le fichier, la ca marche (dasn mon cas, les 2 macs sot a moi masi pour vous, mais je suis pas sur que ca vous plaisent de laisser l'acces a l'autre)

sinon, si tu passes par la boite de depot et ca doit marcher normalement (voir tu peux passer par le compte de l'utilisateur partagé mais je connais pas trop)

[alpseb]

l'idée est pas de déposer des fichiers mais de travaille sur le même ensemble de fichier dans les mêmes répertoires...
donc rapatrier les dossiers ou gérer une boite de dépôt, ça m'arrange moyen
si je trouve pas mieux, partager nos login n'est pas du tout un problème

[oliver939]

l'idée est pas de déposer des fichiers mais de travaille sur le même ensemble de fichier dans les mêmes répertoires...
donc rapatrier les dossiers ou gérer une boite de dépôt, ça m'arrange moyen
si je trouve pas mieux, partager nos login n'est pas du tout un problème

alors pourquoi pas avec Dropbox (le soft, pas la boite de depot du mac) ?

[alpseb]

alors pourquoi pas avec Dropbox (le soft, pas la boite de depot du mac) ?

ca me parait un peu compliqué d'utiliser un soft juste pour bosser en réseau non ?

[GiiGii]

Salut,

si j'ai pigé ton problème cela me semble plus un problème de propriétaire/groupe. En effet, lorsque tu copies ton fichier d'une machine à une autre tu crées un fichier dans le répertoire de destination avec ton utilisateur donc ta copie de fichier portera comme propriétaire=toi - enfin le utilisateur que tu utilises - et le groupe rattacher à ton user.

Bref, je pense qu'en utilisant les droits SGID sur le répertoire partagé devrait résoudre ton problème. Pour ce faire, dans un terminal en root ( commande sudo ) tu te places dans le répertoire parent de ton partage et tu lances la commande :

sudo chmod 2775 mon_dossier_partagé

Ce qui aura pour effet que tous les fichiers et dossiers créés dans le dossier portant ces droits hériteront automatiquement du groupe du dossier parent peu importe l'utilisateur qui le crée et donc des droits.

Bref, si ton collègue est dans le même groupe que le dossier de partage alors plus de soucis puisque qu'en 2775 le droit groupe est à 7 (lecture écriture).

Si ça ne marche pas je n'ai pas compris le problème

GiiGii

[Mark_]

Salut,
Pour ce faire, dans un terminal en root ( commande sudo ) tu te places dans le répertoire parent de ton partage et tu lances la commande :
sudo chmod 2775 mon_dossier_partagé
Ce qui aura pour effet que tous les fichiers et dossiers créés dans le dossier portant ces droits hériteront automatiquement du groupe du dossier parent peu importe l'utilisateur qui le crée et donc des droits.

Salut GiiGii, on te garde bien au chaud dans le forum mac hein. Tu as l'air calé.

Par contre ta manip c'est un peu comme faire ouvrir un fenêtre dos sous windows pour lancer une commande, c'est ça? 
m'enfin, je dis ça parce que je suis en phase "switch" et je découvre les joies du mac 

cordialement,

Mark

[Pascal Méheut]

Je ne suis pas sur qu'un SGID bit règle le problème qui est qu'AFP mette les fichiers en 0200. Vu que dans le cas présent, les utilisateurs sont déjà dans le même groupe, même s'il faudrait vérifier qu'il a le même GID sur les 2 machines.

Je pense pour l'avoir testée que la solution avec les ACLs a plus de chances de fonctionner même si alpseb semble avoir des problèmes avec.

[alpseb]

je l'ai peut etre mal fait pascal, je suis pas habitué au terminal, dès que j'ai un peu de temps,je re-test ca !

[GiiGii]

Je ne suis pas sur qu'un SGID bit règle le problème qui est qu'AFP mette les fichiers en 0200. Vu que dans le cas présent, les utilisateurs sont déjà dans le même groupe, même s'il faudrait vérifier qu'il a le même GID sur les 2 machines.

Je pense pour l'avoir testée que la solution avec les ACLs a plus de chances de fonctionner même si alpseb semble avoir des problèmes avec.

Effectivement, j'avais pas bien compris l'origine du problème.

Bon je ne suis pas du tout familier avec le protocole AFP. Et comme je n'ai qu'une seule machine mac à la maison et aucunes au travail, je ne serai plus d'une grande aide.

Giigii

[GiiGii]

Salut GiiGii, on te garde bien au chaud dans le forum mac hein. Tu as l'air calé.

Mark

Oula j'ai eut qu'une seule machine mac. Je n'ai pas spécialement l'ambition d'être calé dessus. Mais travaillant avec des machines unix aux quotidiens j'ai pensé que. Mais en fait non  

[Tgd]

Alpseb j'ai une solution simple au problème.
Puisque vous êtes tous les deux dans le même groupe (staff je suppose), il suffit d'activer une action de dossier au dossier partagé.
Cette action de dossier, à construire avec Automator (ou Applescript), contiendra simplement la commande chmod 775 qui donnera accès en lecture et écriture à tous les membres du groupe. A chaque fois qu'un nouveau fichier sera ajouté au dossier partagé, il prendra automatiquement les bonnes permissions.

[Tgd]

Pas forcément très académique, mais ça marche 

[Pascal Méheut]

Tu as essayé en ajoutant un dossier plus des fichiers dedans ?

[Tgd]

non pour l'instant juste fichier par fichier ; j'ai fait ça vite fait (mal fait) quand l'idée m'est venue hier 

[Tgd]

Ça ne marche pas : seul le dossier voit ses permissions modifiées, pas les fichiers inclus...

le problème est que quand je crée un fichier sur ma machine et que je le colle sur la sienne, il est verrouillé.
il n'est autorisé que pour moi, on doit donc changer les permissions à la mains.

D'un autre côté, le cahier des charges stipulait un fichier
Facile, je sais 

[GiiGii]

en changeant le 'chmod 775' par un 'chmod -R 755' on passe en récursif et le tour est joué.

Je dirais même au lieu de s'embêter avec une boucle, tu peux directement appliquer un chmod -R 775 'ton_dossier_partagé' sur tout le dossier => ok c'est bourrin !

[Tgd]

Bien vu GiiGii !

Je dirais même au lieu de s'embêter avec une boucle, tu peux directement appliquer un chmod -R 775 'ton_dossier_partagé' sur tout le dossier => ok c'est bourrin !

un peu oui 
D'où l'intérêt de cette action de dossier qui permet de mieux doser ...

[Pascal Méheut]

2 petites remarques :

le code

for f in "$ [at] "
do
  chmod -R 755 "$ [at] "
done

fait une boucle passée en argument pour chaque fichier et un chmod sur l'ensemble des fichiers. Bref, on fait l'opération n^2 fois et pas n fois.
Le code devrait être soit :

chmod -R 755 "$ [at] "

ou

for f in "$ [at] "
do
  chmod -R 755 "$f"
done
Autre inconvénient : elle rend les fichiers exécutables mais passons.

Enfin, est ce que qqu'un l'a essayé ? Parce que quand je le fais, j'obtiens :

chmod: Unable to change file mode on XXXXX: Operation not permitted

ce qui est normal puisque le fichier appartient à l'utilisateur distant et que l'utilisateur local n'a pas les droits. Il faudrait sans doute l'enregistrer comme le 2nd utilisateur. Ou faire un su d'une façon ou d'une autre.

P.S : à noter que cette solution est une version "manuelle" de celle avec les ACLs indiquées plus haut dont j'ai revérifié qu'elle fonctionne.

[alpseb]

woho, le chalenge intéresse du monde 

[Tgd]

2 petites remarques :

le code

for f in "$ [at] "
do
  chmod -R 755 "$ [at] "
done

fait une boucle passée en argument pour chaque fichier et un chmod sur l'ensemble des fichiers. Bref, on fait l'opération n^2 fois et pas n fois.
Le code devrait être soit :

chmod -R 755 "$ [at] "

ou

for f in "$ [at] "
do
  chmod -R 755 "$f"
done
Autre inconvénient : elle rend les fichiers exécutables mais passons.

Enfin, est ce que qqu'un l'a essayé ? Parce que quand je le fais, j'obtiens :

chmod: Unable to change file mode on XXXXX: Operation not permitted

ce qui est normal puisque le fichier appartient à l'utilisateur distant et que l'utilisateur local n'a pas les droits. Il faudrait sans doute l'enregistrer comme le 2nd utilisateur. Ou faire un su d'une façon ou d'une autre.

P.S : à noter que cette solution est une version "manuelle" de celle avec les ACLs indiquées plus haut dont j'ai revérifié qu'elle fonctionne.

Tes remarques sont pertinentes ; comme je l'ai dit, c'est du vite fait mal fait...
Cette solution a l'avantage d'être «programmable» par un non-informaticien (comme moi quoi  )
Le code est celui automatiquement créé par Automator (sauf chmod...)
J'ai testé la «chose» sur le dossier partagé de mon unique machine, dont je suis l'unique utilisateur... Test limité, c'est sûr 

Reste donc à affiner les arguments de chmod.

A nous tous, nous devrions bien y arriver ! Finalement, c'est chouette le forum

[Mark_]

A nous tous, nous devrions bien y arriver ! Finalement, c'est chouette le forum

tu l'as dit!

le coté obscur de la pomme...

[GiiGii]

on peut rajouter un sudo chown avant le le chmod mais ça va demander le mot de passe

Sinon, suffit peut être de changer l'UMASK ( à mettre à 022) ?

[Pascal Méheut]

on peut rajouter un sudo chown avant le le chmod mais ça va demander le mot de passe

Oui. Pour éviter ca, il suffit d'écrire un programme C qui fait le chown, par exemple en faisant un execv et en passant argv+1 et qui vérifie qu'on tape bien dans le bon répertoire. Ensuite, on le met root/suid et ca marche.
Je suis sur que la solution va plaire à alpseb et qu'il va nous coder ca tout de suite 

Sinon, suffit peut être de changer l'UMASK ( à mettre à 022) ?

Le problème avec l'AFP, c'est à dire le protocole de partage de fichier Apple, c'est qu'on ne peut apparemment pas le changer comme on le fait facilement avec Samba par exemple.
Avec MacOS X Server, il y a plus de possibilités de paramètrage mais de poste client à poste client, je n'ai pas trouvé grand chose. Bon, je n'y ai pas passé mes nuits non plus.

[GiiGii]

Je propose, je propose il disposera

Vous voyez j'ai vraiment aucune connaissance de AFP.

FTP ?

Sinon, créer des montages réseaux NFS, il doit bien exister une version pour mac. Mais bon on s'éloigne toujours du problème.