Je vous explique un peu, je fais mon TFE sur une implémentation informatique dans une société qui vas compter en tout 21 pc (sous debian 9).
Le serveur sera lui aussi sous Debian 9.
Pour si peu de pc, j’ai penser qu’il n’y avais pas l’utilité de mettre une active directory (dite moi si je me trompe)
J’ai donc prévu de faire un partage de fichiés ( chaque service de l’entreprise ayant leur propre droit sur leur folder).
Les pc seront sour le nom des services et non des nom du personnel.
Voici ma question, est-ce possible d’implémenter une règle qui permetrais aux utilisateurs d’avoir acces en lecture et ecriture sur leur dossier partager, qu’il puisse y créer des fichiers mais sans pouvoir les copier sur leur pc?
Donc je résume, j’aimerai qu’il puisse lire et ecrire sur leur dossier partagé propre à leur service, lecture seulement sur certains autres dossiers partagés, et ne rien pouvoir copier sur le pc, tout devras rester interne au serveur.
Est-ce faisable?
Merci d’avance
Bonne journée
Gr0dede
edit : Est-ce aussi possible de mettre un password par utilisateur pour leur fichier de partage NFS?
A partir du moment ou un utilisateur peut visualiser des fichiers ou dossiers sur son ordinateur perso, il pourra les copier.
Si, c’est sur un poste de l’entreprise pour empêcher la copie, il faudrait lui interdire l’insertion d’une clef usb par exemple, lui interdire toute connexion de cet ordi vers l’extérieur, car sinon il pourra envoyer le fichier sur un cloud ou son propre serveur pour le récupérer ensuite… et j’ai peu être encore oublié des trucs…
Il faut que les différentes ressources soient définies d’une manière claire et unique dans le réseau local.
Par ressources j’entends les systèmes physiques (noms des ordinateurs), les utilisateurs, les groupes, les répertoires partagés.
Pour que toutes ces ressources soient accessibles partout de la même manière il faut bien que ce soit défini quelque part (sur une des machines du réseau) et qu’il y ait un mécanisme pour que les informations passent du serveur au poste client.
Autrement dit, il serait bon que que sur tous les systèmes du réseau on ait la même réponse à ces commandes
getent hosts NomDunPC
getent hosts uneIP
getent passwd directeur
getent group compta
id marcel
ls -l /partages/compta
Si je prends l’exemple de l’utilisateur marcel il ne faut pas que son identification numérique soit 1000 comme c’est le cas en général pour l’utilisateur principal de la machine qu’il utilise habituellement mais un numéro unique pour toutes les machines de la société.
Une usine à gaz ne se justifie pas, certes, mais les concepts sous-jacents sont à retenir.
Je vous suggère d’étuider une soultion basée sur NFS et NIS (les commandes getent table item sont prises en compte avec l’installation d’un seul paquet sur les machines du réseau )
Pour la partie partage de fichiers un montage automatique basé sur automount àutofs` est très facile à mettre en oeuvre avec NIS. Les répertoires partagés peuvent être sur plusieurs serveurs.
Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة
Pour ce qui est de TFE cela veux dire simplement travail de fin d’étude ;).
Je vois avec les liens que vous m’avez donnez qu’il y a moyen de sécuriser encore un peu NFS mais a mon avis pas assez… Dommage
Les ports usb des machine de l’entreprise seront de toute facon bloquées, mais bon, si une personne est virée et qu’il veux prendre des fichiés importants auquel il à accès, il suffit qu’il se les envoi par mail via son poste de travail et donc, problème de sécurité.
Je viens de lire sur les différents lien que vous m’avez donné qu’il fallais changer l’identification numérique des utilisateurs, je vais prévoir cela dans mon dossier.
Je comptais crée des groupe par service de travail, et dans ces groupe mettre un nom par pc exemple : groupe urbanisme, pc urbanisme 1, 2, 3.
Je voulais mettre un mot de passe sur chaque machine et mettre un mot de passe lors du montage du fichié partager pour garder une trace de quel pc monte quoi et quand, mais je ne sais pas si cela est possible.
Je vais regarder de plus près l’option avec NIS.
Je me suis fait un serveur avec un Raspberry pi chez moi, avec fichier partagé en NFS sur mes pc.
J’ai juste ajouter une ligne en fstab et un folder partage se trouve sur mon bureau, il suffit de double cliqué dessus pour le monter, est-ce cela dont vous parler? autofs?
Merci encore pour vos réponse.
Bonne journée.
Edit : je pense avoir trouver la solution à mon problème. Même s’ils peuvent copié les fichiés sur leur machines, je peux simplement changer leur mot de passe en me connectant en SSH sur le serveur et de la, je me connecte en SSH sur la machine en question pour changer le password.
C’était un problème de sécurité car je pensais que je ne savais pas avoir accès à leur compte à distance mais grâce à SSH cela fonctionne, je viens d’essayé.
Quand in parle de groupe, en général, on parle de groupe d’utilisateurs, pas de groupe de machines. Je sais bien que dans le monde des PCs (windows Active Directory) on a tendance à tout mélanger, dans la logique complètement fausse que tout utilisateur a un PC. Dans le schéma LDAP associé à Active Directory c’est flagrant.
Décidément, votre esprit est pollué par Active Directory Jusqu’à nouvel ordre, c’est un utilisateur qui s’identifie avec un mot de passe. Dans le monde propriétaire des domaines Active Directory, les systèmes clients (en général des Windows version Pro) se voient attribuer certains droits lorsque les administrateurs les font entrer dans un domaine AD. Il y a une gestion de ces droits via des jetons Kerberos.
Je me permets de douter de la pertinence de ce genre de règles. Quid de l’ambiance de travail dans une société où de toute évidence l’employeur ne fait pas confiance à ses salariés ?
Le mot de passe est lié à l’utilisateur.
Comme vous voulez que tout soit sur le serveur, une solution possible à base de NIS + NFS + autofs serait de ne configurer les postes des utilisateurs que comme des clients légers .
Lorsque qu’une personne s’identifie son répertoire personnel est monté depuis le serveur. Les droits d’écriture sont limités à des systèmes de fichiers qui se trouvent sur le (ou les) serveur(s).
Vous pouvez aussi vous inspirer de ce qui se faisait dans un siècle que vous n’avez peut-être pas connu : le client sans disque, même le système racine est monté depuis le réseau.
Pas vraiment. (et quand je vois qu’un apprenti administrateur système et réseau pose une question d’architecture et parle de double-cliquer pour provoquer un montage, j’ai peur )
Pour rappel, NFS network file system et NIS network Information system sont des technologies développées par Sun dans les années 80 ou 90.
Classiquement, la configuration des montages automatiques se fait dans /etc/auto.master et des tables qui peuvent s’appeler /etc/auto.home ou /etc/auto.urbanisme par exemple.
Question à propos du matériel : les 21 PCs sont-ils connectés en filaire ?
Si ce sont des machines fiables vous pouvez répartir les services NFS sur plusieurs machines : les partages du groupe urbanisme peuvent être exportés par un des PCs.
Autrement dit, on peut avoir une répartition /partages/service avec un stockage sur un des Pcs du service (stockage distribué).
On peut aussi avoir un système de fichiers par affaire. Sur un serveur de fichiers NFS on peut exporter tout un système de fichiers ou simplement des sous-répertoires.
Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة
F. Petitjean
Ingénieur civil du Génie Maritime.
I hope to die before I have to use Microsoft Word.
- Donald E. Knuth, 2001-10-02 in Tübingen
Quand je parle de provoquer un montage par double cliquage, c’est parce que depuis le partage depuis le serveur , cette icone est apparue, cela m’évite de faire la commande mount -t nfs4 192.168.0.250:/shareddirectory /mnt/shareddirectory. Un peu comme quand je suis en mode graphique et que j’insère une clé usb, lorsque je double-clique sur l’icone, cela provoque un montage, pareil que si je faisai un clic-droit mount ou que si je le faisai simplement en ligne de commande.
Je ne parierais pas sur un partage via les pc car, ce seront des petites machines, en qui, même fiable, je n’aurai pas confiance pour ce genre de partage.
En tout cas, merci pour les retours, je vais approfondir cela et tester en interne chez moi.
Jusqu’à nouvel ordre, c’est un utilisateur qui s’identifie avec un mot de passe. Dans le monde propriétaire des domaines Active Directory, les systèmes clients (en général des Windows version Pro) se voient attribuer certains droits lorsque les administrateurs les font entrer dans un domaine AD. Il y a une gestion de ces droits via des jetons Kerberos.
)