SAMBA droit group creation repertoire [RESOLU]

guillaume_g · Le 30/01/2015, à 13:25

Bonjour,
je suis en Ubuntu 14.04.1 LTS

voila plusieurs mois que mon serveur samba est récalcitrant:
j'ai un répertoire partager "Documents" dans le répertoire "/srv/samba/share/"
avec les droits suivants:

drwxrwx--- guillaume atelier /srv
drwxrwx--- guillaume atelier /srv/samba
drwxrwx--- guillaume atelier /srv/samba/share
drwxrwx--- guillaume bureau /srv/samba/share/Documents

ce répertoire est accessible à "guillaume" "fabien" et "remi" ces trois utilisateurs font parti des groupes "bureau" et "atelier"
le but est que ce répertoire soit en accès complet pour tous les utilisateurs du groupe bureau et qu'ils puissent avoir un accès complet aux répertoires et fichiers créé dans ce dernier.

ci dessous mon smb.conf:

[global]
	unix password sync = yes
	log file = /var/log/samba/log.%m
	panic action = /usr/share/samba/panic-action %d
	dns proxy = no
	create mode = 770
	obey pam restrictions = yes
	directory mode = 770
	usershare allow guests = yes
	passdb backend = tdbsam
	server string = %h server (Samba, Ubuntu)
	passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
	pam password change = yes
	max log size = 1000
	passwd program = /usr/bin/passwd %u
	server role = standalone server
	os level = 20
	syslog = 0
	socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=65536 SO_RCVBUF=65536
	map to guest = bad user
	security = user
	workgroup = menuiserie


[printers]
	available = no
	path = /var/spool/samba
	printable = yes
	guest ok = no
	create mask = 0700
	comment = All Printers
	browseable = no
	writable = no

# Windows clients look for this share name as a source of downloadable
# printer drivers
[print$]
	browseable = no
	writable = no
	available = no
	comment = Printer Drivers
	guest ok = no
	path = /var/lib/samba/printers


[Documents]
	browsable = yes
        read only = no
	comment = partage pour le bureau
	write list = @bureau
	directory mode = 770
	writeable = yes
	valid users = @bureau,@Administratif
	force group = bureau
	create mode = 770 
	path = /srv/samba/share/Documents
       

[Atelier]
	browsable = yes
        read only = no
	comment = Dossier de partage pour l'atelier
	write list = @atelier
	writeable = yes
	valid users = @atelier
	force group = atelier
	path = /srv/samba/share/Atelier

mon probleme est : lorsque un nouveau repertoire est créé par Fabien rémi dans "Documents" il a les droits :

drwxr-x--- fabien bureau /srv/samba/share/Documents

don régulièrement je suis obliger de lancer la commande

 sudo chmod -R 770 /srv/samba/share/Documents

guillaume est l'administrateur du serveur et n'a pas ce problème
pour info j'ai un second pc configuré de la même manière et il réagit pareil...

quelqu'un à une idée?

Dernière modification par guillaume_g (Le 01/02/2015, à 11:48)

bruno · Le 30/01/2015, à 18:19

Bonjour,

Tu peux essayer avec (cf directory mask) :

force directory mode = 770

tiramiseb · Le 30/01/2015, à 19:36

Salut,

Autres approches possibles :

1/ t'intéresser au terme "umask", qui permet de définir les droits par défaut lors de la création d'un fichier, c'est lié à chaque utilisateur
2/ utiliser les ACL POSIX et mettre des droits par défaut

guillaume_g · Le 31/01/2015, à 13:14

Bonjour,
Tu peux essayer avec (cf directory mask) :

j'ai essayé le code

force directory mode = 770

mais ça ne marche pas mieux

guillaume_g · Le 31/01/2015, à 13:28

tiramiseb a écrit :

t'intéresser au terme "umask", qui permet de définir les droits par défaut lors de la création d'un fichier, c'est lié à chaque utilisateur

bien vu en modifiant dans /etc/login.defs le paramètre

UMASK 022 et le modifié en
UMASK 002

et le tour est joué

Merci tiramiseb

jplemoine · Le 31/01/2015, à 13:48

Je pense que la solution de tiramiseb concerne tous les fichiers créés (et donc les fichiers locaux) et non pas ceux du partage Samba.
A infirmer ou confirmer.

tiramiseb · Le 31/01/2015, à 13:52

Je confirme que ça concerne tous les fichiers créés par les utilisateurs et pas seulement ceux desservis par Samba.

jplemoine · Le 31/01/2015, à 13:53

Dans la définition du partage dans /etc/samba/smb.conf, il faut faire :

   force user = xxxxx
   force group = yyyyy
   create mask = 0640
   directory mask = 0750

Il faut évidement adapter les valeurs, je t'ai mis les miennes...
NB : le 'create mask' ce sont les fichiers au moment de leur création.

guillaume_g · Le 31/01/2015, à 14:13

en mettant dans le /etc/samba/smb.conf

   force group = bureau
   create mask = 0770
   directory mask = 0770

et en remettant dans /etc/login.defs

UMASK           022

si je créé un repertoire avec le compte samba j'obtient les droits

drwxr-x--- fabien bureau /srv/samba/share/Documents/newrepetoire

tiramiseb · Le 31/01/2015, à 14:20

Je pense que la bonne config serait "force directory mode" (et aussi "force create mode" tant qu'à faire), sauf que ce que tu as montré en #4 tu as oublié le 0 au début...

guillaume_g · Le 31/01/2015, à 14:44

voila mon nouveau extrait de smb.conf:

[Documents]
        directory mode = 0770
        user = @bureau
        browsable = yes
        revalidate = yes
        write list = @bureau
        comment = Ubuntu File Server Share
        locking = no
        force directory mode = 0770
        create mode = 0770
        valid users = @bureau,@Administratif
        path = /srv/samba/share/Documents
        force group = bureau
        writeable = yes
        force create mode = 0770
        create mask = 0770
        directory mask = 0770

et le resultat reste pareil :
drwxr-x--- fabien bureau /srv/samba/share/Documents/newrepetoire

jplemoine · Le 31/01/2015, à 14:47

Sur mon poste (sur lequel ça fonctionne comme je veux ce qui ne correspond pas à ce que tu veux), si je fais

umask

(en minuscules), j'obtiens :

(j'ai rien changé)
Je ne sais pas :
- si les majuscules et les minuscules sont importantes
- si le premier 0 est important (où si 0 est une valeur par défaut

guillaume_g · Le 31/01/2015, à 14:53

ton umask tu le fais comment (fichier ou commande) merci de détaillé

tiramiseb · Le 31/01/2015, à 14:58

Bon, je n'ai pas de réponse directe par rapport à ton problème car globalement ta config me semble bone.
Par contre elle est crado, je te propose de nettoyer un peu puis de réessayer...

-----

"directory mode" et "directory mask" sont synonymes. Enlève "directory mode". Pareil pour "create mode".

Par ailleurs, dans ton cas, si tu mets "force directory mode" et "force create mode", alors "directory mask" et "create mask" sont inutiles.
Autre remarque en passant, je mettrais "force create mode" à 0660, pas à 0770...

Je te conseille aussi d'ordonner un peu tes options car il est difficile de s'en sortir quand tout est mélangé : mets les "... mask" et les "... mode" ensemble, mets "browsable" et "writable" ensemble, etc.

Enfin, il y a certains paramètres qui me semblent inutiles :
- user : c'était utile avec des très vieux clients (avant windows 95), qui donnaient juste le mot de passe, pas le nom d'utilisateur => si tu n'as pas de Windows 3.11 sur ton réseau, alors tu peux supprimer ce paramètre ;
- revalidate : cette option demande aux clients de s'authentifier au moins une fois par partage. en général, une fois authentifié pour un partage, on n'a pas besoin de réauthentifier un utilisateur pour un autre partage - pour ma part, j'enlèverais ce paramètre ;
- locking : comme écrit dans la doc, « You should never need to set this parameter » - ce paramètre risque de faire perdre des données ;

Au final, tu devrais avoir quelque chose comme ça :

[Documents]
        path = /srv/samba/share/Documents
        comment = Ubuntu File Server Share
        valid users = @bureau,@Administratif
        write list = @bureau
        force group = bureau
        browsable = yes
        writeable = yes
        force directory mode = 0770
        force create mode = 0660

tiramiseb · Le 31/01/2015, à 15:02

jplemoine: le umask peut varier selon les distros et les situations. Si tu as un umask en "0002", alors tu es dans la situation que guillaume_g a obtenue en #5.

Notamment, si le nom de ton groupe principal est égal au nom de ton utilisateur, alors ton umask est celui-là.
Par contre, le umask "devient" 0022 si le nom du groupe est différent du nom de l'utilisateur.
Mais ne me demande pas comment ça s'articule en interne, je n'ai jamais creusé.

guillaume_g a écrit :

ton umask tu le fais comment (fichier ou commande) merci de détaillé

Pour obtenir son umask il tape :

umask

jplemoine · Le 31/01/2015, à 15:05

Comme c'est un Ubuntu server, je le fait à partir d'une connexion ssh pour pouvoir voir la valeur.
Je ne sais pas comment il est "calculé" mais je peux te donner le résultat d'un contenu de fichier si ça peut t'aider et/ou faire des tests si tu me les décris
Je n'ai rien touché par rapport à l'installation de base.
J'ai juste défini des droits particuliers pour le partage samba.
De mémoire, c'est mon utilisateur et groupe qui récupère des droits en lecture/écriture, et les droits que je t'ai donné :
fichier : rw-r-----
rep : rwxr-x---

Coeur Noir · Le 31/01/2015, à 15:11

L'umask est "stocké" dans le fichier /etc/login.defs depuis ubuntu 12.04, c'est donc ce fichier qu'il faut éventuellement modifier (ligne 151 chez moi).

jplemoine · Le 31/01/2015, à 15:18

Dans le fichier /etc/login.defs, il y a une ligne

UMASK		022

tiramiseb · Le 31/01/2015, à 15:23

jplemoine: mais il y a aussi "USERGROUPS_ENAB yes", n'est-ce pas ?

jplemoine · Le 31/01/2015, à 15:58

oui. Mais ça doit être la valeur par défaut : je ne crois pas avoir modifié ce fichier.

tiramiseb · Le 31/01/2015, à 16:09

Oui, c'est bien la valeur par défaut. Et ça explique que quand tu tapes "umask" en ligne de commandes ça te donne 0002.

jplemoine · Le 31/01/2015, à 16:20

D'accord. Merci pour le renseignement.
Est-ce que ça explique pourquoi ça fonctionne chez moi mais pas chez guillaume_g ?

tiramiseb · Le 31/01/2015, à 16:26

Si j'ai bien lu, chez toi ça ne fonctionne pas comme guillaume_g le souhaite.

guillaume_g voudrait que le groupe ait les droits en écriture, selon ton message #16 ce n'est pas le cas chez toi.

Coeur Noir · Le 31/01/2015, à 16:26

USERGROUP_ENAB yes

→ lorsqu'on crée un utilisateur, un groupe du même nom est automatiquement créé. Si ce groupe se retrouve "vide" (sans utilisateur) il sera alors effacé. Laisser par défaut pour se faciliter la vie, ça n'a pas d'incidence dans les partages.

umask 022 → c'est "soustractif". Signifie 755 soit user = rwx | group = rx | other = rx

Dans notre cas puisqu'on va gérer les accès à des répertoires via leur appartenance à des groupes, il faut passer à :

umask 002 → 775 soit u=rwx | g=rwx | o=rx

On peut même aller plus loin en excluant les "autres" avec umask 007.

Voir (en anglais) http://www.cyberciti.biz/tips/understan … usage.html qui est assez général. On peut à priori modifier le umask au niveau de l'utilisateur via le fichier ~/.profile plutôt que pour tout le système…

jplemoine · Le 31/01/2015, à 16:36

@coeur noir : Je te ferais la même réponse qu'à Sébastien : le umask est une modification pour tous les fichiers, pas que ceux du partage.
@tiramiseb : je crois me rappeler que si on modifie les valeurs de create mask et directory mask, on arrive à ce que quillaume_g.
Si je fais un répertoire de test, que je modifie le smb.conf, quels services faut-il relancer pour que ce soit pris en compte ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/01/2015, à 13:25

SAMBA droit group creation repertoire [RESOLU]

#2 Le 30/01/2015, à 18:19

Re : SAMBA droit group creation repertoire [RESOLU]

#3 Le 30/01/2015, à 19:36

Re : SAMBA droit group creation repertoire [RESOLU]

#4 Le 31/01/2015, à 13:14

Re : SAMBA droit group creation repertoire [RESOLU]

#5 Le 31/01/2015, à 13:28

Re : SAMBA droit group creation repertoire [RESOLU]

#6 Le 31/01/2015, à 13:48

Re : SAMBA droit group creation repertoire [RESOLU]

#7 Le 31/01/2015, à 13:52

Re : SAMBA droit group creation repertoire [RESOLU]

#8 Le 31/01/2015, à 13:53

Re : SAMBA droit group creation repertoire [RESOLU]

#9 Le 31/01/2015, à 14:13

Re : SAMBA droit group creation repertoire [RESOLU]

#10 Le 31/01/2015, à 14:20

Re : SAMBA droit group creation repertoire [RESOLU]

#11 Le 31/01/2015, à 14:44

Re : SAMBA droit group creation repertoire [RESOLU]

#12 Le 31/01/2015, à 14:47

Re : SAMBA droit group creation repertoire [RESOLU]

#13 Le 31/01/2015, à 14:53

Re : SAMBA droit group creation repertoire [RESOLU]

#14 Le 31/01/2015, à 14:58

Re : SAMBA droit group creation repertoire [RESOLU]

#15 Le 31/01/2015, à 15:02

Re : SAMBA droit group creation repertoire [RESOLU]

#16 Le 31/01/2015, à 15:05

Re : SAMBA droit group creation repertoire [RESOLU]

#17 Le 31/01/2015, à 15:11

Re : SAMBA droit group creation repertoire [RESOLU]

#18 Le 31/01/2015, à 15:18

Re : SAMBA droit group creation repertoire [RESOLU]

#19 Le 31/01/2015, à 15:23

Re : SAMBA droit group creation repertoire [RESOLU]

#20 Le 31/01/2015, à 15:58

Re : SAMBA droit group creation repertoire [RESOLU]

#21 Le 31/01/2015, à 16:09

Re : SAMBA droit group creation repertoire [RESOLU]

#22 Le 31/01/2015, à 16:20

Re : SAMBA droit group creation repertoire [RESOLU]

#23 Le 31/01/2015, à 16:26

Re : SAMBA droit group creation repertoire [RESOLU]

#24 Le 31/01/2015, à 16:26

Re : SAMBA droit group creation repertoire [RESOLU]

#25 Le 31/01/2015, à 16:36

Re : SAMBA droit group creation repertoire [RESOLU]

Pied de page des forums