Gestion des droits pour partage de fichiers

[Moonwalker]

Il faut arrêter de lire des cours d'école maternelle quand on désire des réponses de grandes personnes.

http://www.graffitix.com/index.php?pg=MXDDroit1

http://www.osxfaq.com/Tutorials/LearningCenter/AdvancedUnix/ugp/index.ws

 

[pascalformac]

Ahh moonwalker ze wheel of fortune

( je sors)

 

[FrançoisMacG]

Dans OS X, je traduirais Everyone par : celui qui se présente, tout un chacun, n'importe qui.

Wheel, c'est le Groupe de l'utilisateur Root, et probablement de System aussi : je vais relire les liens de Moonwalker.

Unknown, c'est l'Inconnu : source de problèmes, parfois ; à traiter sur Leopard comme une ACL.

il faut raisonner unix, c'est à dire fichiers et droits y afférent.

Le système ne va pas se mettre à deviner ce qui pourrait te passer par la tête.

Mon souci serait plutôt d'arriver à comprendre la logique du système : merci d'avoir insisté sur le mot fichiers.

 

[FrançoisMacG]

Il faut arrêter de lire des cours d'école maternelle quand on désire des réponses de grandes personnes.

http://www.graffitix.com/index.php?pg=MXDDroit1
http://www.osxfaq.com/Tutorials/LearningCenter/AdvancedUnix/ugp/index.ws

J'ai tiré deux lois de la lecture de tes deux liens :
- Au regard des Autorisations, un dossier est un fichier.
- Le propriétaire est le créateur du fichier, le Groupe celui du dossier de création, et c'est en lecture seule pour groupe-Everyone.

Dans le dossier Users>Partagé (System-Wheel-Everyone en l+é), j'ai créé des dossiers, qui se sont bien affichés en Moi-Wheel-Everyone (Moi en l+é, Wheel et Everyone en lecture seule) = on est d'accord, la seconde loi s'applique bien.

J'ai ensuite modifié les autorisations des dossiers créés dans Partagé : un en l+é pour Everyone, un en l+é pour un Second compte, un en l+é pour Everyone et Second.
Dans ces dossiers, j'ai créé, à partir de ma session encore, des fichiers,
et ces fichiers se sont affichés en Moi-Staff-Everyone (l+é/l/l), comme si je les avais créés sur le Bureau de mon compte d'Utilisateur : le Groupe n'est pas celui du dossier de création, là.

Ensuite, j'ai appliqué aux éléments inclus les autorisations des dossiers-tests.
Depuis mon compte Second, j'ai pu alors écrire dans les fichiers en l+é pour Second et pour Second+Everyone, mais pas dans celui pour Everyone seul : Second aurait pu être inclus dans Everyone, et, finalement, ne l'a pas été.

Il doit y avoir encore deux ou trois lois simples que je n'ai pas comprises… :rolleyes:

 

[bompi]

Par rapport à ta première règle : sur UNIX, tout est un fichier (certes certains sont particuliers mais quand même).

 

[bompi]

Je suis sur Linux présentement et ne peut donc vérifier pour OS X mais, normalement, les règles sont simples :
- les droits appliqués par défaut à un répertoire ou un fichier nouvellement créés sont ceux définis par le masque (voir commande umask) ;
- un fichier/répertoire nouvellement créé aura pour propriétaire le compte utilisé pour la création et pour groupe le groupe primaire de ce compte.

Sur un système "à l'ancienne" (sans annuaire), on voit le groupe primaire des users dans le fichier /etc/passwd.

 

[FrançoisMacG]

(certes certains sont particuliers mais quand même).

mais, normalement, les règles sont simples

C'est bien ce qui te fait employer des circonlocutions qui me pose question.

 

[bompi]

Ce ne sont pas des circonlocutions : sur UNIX on travaille avec des fichiers ou, plus généralement, avec des flux. Même les accès aux périphériques se font de cette manière : mais ce sont évidemment des fichiers particuliers, voilà tout.

Quant aux règles : celles proprement UNIX (disons : historiquement UNIX) sont simples. La situation se complique très nettement avec deux ajouts. Le premier est la gestion via un annuaire, qui met une distance plus importante entre les données et le technicien (on ne va plus dans /etc/passwd ou /etc/group mais dans l'annuaire, par exemple), le second est l'ajout des ACLs qui viennent prendre le pas sur les droits usuels.

Mon post #26 donne les règles simples, sauf erreur de ma part. Et ça se vérifie très simplement. Je viens de le faire à l'instant.

mkdir ~/tmp
cd ~/tmp
touch brol
ls -l brol
mkdir brol2
ls -ld brol2

Pour le répertoire /Users/Shared, la situation est différente parce que ce répertoire a le fameux sticky bit ce qui fait que ce qui est créé en-dessous prend son groupe et non le groupe primaire du créateur.

 

[FrançoisMacG]

Tu es le seul à me répondre, et tu sembles assez intéressé pour continuer à me répondre, alors je continue à t'asticoter : pardonne-moi.

Je suis sur Linux présentement et ne peut donc vérifier pour OS X mais, normalement, les règles sont simples :
- un fichier/répertoire nouvellement créé aura pour propriétaire le compte utilisé pour la création et pour groupe le groupe primaire de ce compte.

Le lien graffitix de Moonwalker me dit :

L'utilisateur propriétaire est toujours celui qui a créé le fichier. Les droits permettent au propriétaire de lire et modifier, et à tous les autres utilisateurs de lire uniquement. Le groupe propriétaire n'est pas ce à quoi vous vous attendiez. C'est en fait le groupe du dossier dans lequel vous avez créé le fichier.

Le comportement n'est pas le même dans toutes les versions d'Unix. L'Unix BSD, sur lequel OS X est construit, fonctionne de cette façon. D'autres utilisent le groupe primaire de l'utilisateur qui a créé le fichier. Le comportement BSD prend du sens quand on crée des fichiers dans des dossiers en dehors du dossier de départ.

Essayez ça :
% cd /Users
% ls -ld Shared/
drwxrwxrwt 12 root wheel 364 May 30 21:15 Shared
% cd Shared/
% touch new-file
% ls -l new-file
-rw-r--r-- 1 bibi wheel 0 May 30 21:16 new-file

= le groupe propriétaire est maintenant ‘wheel', ce qui correspond au groupe propriétaire du dossier /Users/Shared.

Les mêmes règles s'appliquent aux dossiers, qui ne sont après tout que des fichiers.

Le stickybit semble hors de cause.

Sur un système "à l'ancienne" (sans annuaire), on voit le groupe primaire des users dans le fichier /etc/passwd.

Je suis assez ignorant pour ne pas savoir ce qu'est un annuaire… :siffle:

 

[FrançoisMacG]

l'ajout des ACLs qui viennent prendre le pas sur les droits usuels.

J'ai cru comprendre que, sous Leopard, la modification des droits POSIX passe par les ACL. Mais, encore une fois, ce n'est pas si simple (pour moi)…

En lançant la commande ls -la sur les trois fichiers que j'ai créés dans Partagé et dont j'ai modifié les autorisations (en passant par la fenêtre des Informations), j'obtiens :

- pour le fichier autorisé en écriture à Everybody : Moi en propriétaire, -rw-r--rw-@ = un droit affiché en écriture à Everybody, une ACL présente, mais l'impossibilité pour Second d'écrire sur ce fichier
- pour le fichier autorisé en écriture à Second : Second en propriétaire, -rw-r--r--@ = un simple droit de lecture à Everybody, une ACL présente, et la possibilité pour Second d'écrire
- pour le fichier autorisé en écriture à Second et Everybody : Second en propriétaire, -rw-r--rw-@ = un droit d'écriture à Everybody, une ACL présente, et la possibilité pour Second d'écrire.

= j'ai bien créé des ACL en modifiant les droits originaux ;
donner un droit d'écriture à Everybody n'autorise pas le second Compte à écrire, mais changer le propriétaire le fait ;
autoriser un Compte à écrire sur un fichier dans Partagé donne ce Compte comme nouveau propriétaire.

= je reste fort perplexe, même si des lois se dessinent. :hein:

 

[bompi]

Sur le sticky bit, je me suis en effet équivoqué : j'ai été induit en erreur par la différence de comportement d'OS X par rapport à Linux en ce qui concerne le groupe par défaut des fichiers créés.

Un annuaire est une application qui renferme des informations et que l'on interroge simplement, les informations étant généralement liées aux personnes, groupes de personnes, objets, droits d'accès des premières et des seconds sur les troisièmes etc. On peut y stocker un peu tout (adresse postale, adresse de messagerie, paramètres et préférences etc.) et faire que c'est la source première de ce type d'informations. Auquel cas les classiques fichiers (/etc/passwd, /etc/group mais d'autres aussi bien) sont surpassés par les informations que contient cet annuaire.
Mais ... ces fichiers doivent subsister sur le système, en ayant au moins le minimum vital pour démarrer le système et y accéder (en mode mono-utilisateur, par exemple).

En général, on parle d'annuaire LDAP (abus de langage, à vrai dire).

 

[FrançoisMacG]

- pour le fichier autorisé en écriture à Second : Second en propriétaire, -rw-r--r--@ = un simple droit de lecture à Everybody, une ACL présente, et la possibilité pour Second d'écrire.

Autoriser un Compte à écrire sur un fichier dans Partagé donne ce Compte comme nouveau propriétaire.

Ça, c'est dans le Terminal : dans Sandbox, le propriétaire, c'est toujours Moi, avec une ACL (longue comme le bras) pour Second. :siffle:

A cette ACL, ne manquent que applies to child files et applies to child folders pour arriver au droit d'écriture en héritage que peut donner Sandbox avec ses inherance/read/write settings…

Bref, pour partager des fichiers en écriture avec un autre Compte, il vaut mieux passer par Sandbox ou Préférences Système>Partage de fichiers. :heu:

 

[bompi]

... ou avoir Leopard Server, sans doute

 

[FrançoisMacG]

... ou avoir Leopard Server, sans doute

Ceci pourrait être une parapèterie !

 

[EagleOne]

Bref, pour partager des fichiers en écriture avec un autre Compte, il vaut mieux passer par Sandbox ou Préférences Système>Partage de fichiers. :heu:

+1 !!

 

[rod75]

+1 !!

Bonsoir à tous!

Je viens également de switcher depuis quatre jours. J'ai succombé aux charmes du nouvel iMac et aux louanges de mes collègues sur le mac s'apparentant aux chants des sirènes!
Le mac c'est génial, hyper intuitif, super logique etc....

Et voilà qu'après réception de ma merveille débute mon chemin de croix simplement pour le paramétrage et la découverte d'OSX! Toutefois, je ne désespère pas et aime les défis notamment celui de maîtriser mac (suis-je trop audacieux!?)

Pour faire court, j'ai le même souci que FrançoismacG.
Je souhaite utiliser l'ordi avec ma copine par le biais de deux utilisateurs tout en partageant certains fichiers comme nos photos de vacances.

J'ai tenté plusieurs choses mais toutes ce sont avérées infructueuses.

1-Consultations des fichiers par l'intermédiaire du fichier PUBLIC.
Problème: Ils s'affichent sur ma session mais pas sur celle de mon amie. J'obtiens le même résultat lorsque je fais l'inverse cad lorsque j'enregistre des documents dans son dossier PUBLIC, je ne peux pas les voir.
Quelqu'un pourrait me dire pourquoi, svp?

2-J'utilise la technique de FrançoismacG cad que je passe par le paramétrage de "Fichier partagé" (en l'occurrence c'est mon fichier PUBLIC que j'ai partagé).
Or, j'ai le même résultat. Sur mon compte, je vois bien indiqué que mon Fichier PUBLIC est partagé mais sur le compte de mon amie le compte PUBLIC reste vide (sauf boîte d'envoi évidemment).
Alors pq et comment faire?

Please help me car j'en connais une qui se moque de moi et j'ai de plus en plus de mal à lui vanter les mérites de mac.

Merci
Cordialement

 

[FrançoisMacG]

Bonsoir, et bienvenue sur Mac et sur MacGé !

Je n'ai pas le souci concret de partager des fichiers, mais seulement la curiosité de savoir…

Le dossier Public a des autorisations bien précises et vraisemblablement inoxydables (OS X l'a créé pour permettre la lecture de fichiers par d'autres, et rien d'autre),
et à ta place, j'essaierais de partager n'importe quel dossier de mon Compte … à part celui-là !
Alors crée un nouveau dossier dans ta Maison, et autorise son partage avec ta copine en passant par les Préférences Système : utilise la rubrique Aide qui est dans la barre des menus (la barre du haut de l'écran), ou en cliquant sur le point d'interrogation qui s'affiche dans les fenêtres de Préférences Système.

 

[Moonwalker]

Il ne faut pas utiliser "Public" ça ne sert pas à ça. Publique c'est une zone où les autres vont chercher des fichiers que tu mets à leur disposition pour consultation ou copie et où ils peuvent t'en passer d'autres en les déposant dans ta boîte de dépot. Ça marche aussi pour les machines en réseau.

Contrairement à ce qui est avancé ci-dessus, il est fort simple de partager des fichiers et de travailler conjointement dessus.

Exemple :
Tu créés un fichiers Pages (ou Word, ou Text Edit, ou OpenOffice.org, etc...). Tu l'enregistres dans Macintosh HD/Utilisateurs/Partagé.

cmd+I => Les droits de ce fichier sont :
mapomme (moi) -> lecture et écriture ; wheel -> lecture seulement ; everyone -> lecture seulement.

Pour qu'un autre compte du Mac puisse consulter et travailler sur ce fichier, il faut l'ajouter dans la liste (le petit + sur la fenêtre des informations du fichier) et lui définir les droits en lecture et écriture.

On aura ainsi les droits suivants :
mapomme (moi) -> lecture et écriture ; sapomme -> lecture et écriture ; wheel -> lecture seulement ; everyone -> lecture seulement.

le deuxième compte, sapomme, aura exactement les mêmes droits que tiens sur ce fichier.

 

[jeromesson]

Bonjour,
Une p'tite question sur les droits des fichiers: ça serait plus simple qu'au lieu d'utiliser des dossiers spéciaux (qu'on a pas forcément envie d'utiliser parce que je tiens pas à avoir des choses rangées à 2 endroits différents) et au lieu d'utiliser plusieurs comptes, on pourrait par exemple avoir un seul compte admin puis interdire l'accès à certains dossiers. L'admin a tous les droits et protège ses dossiers avec un mdp par exemple.

Est-ce qu'on empêcher l'accès à un dossier spécifique qu'on a pas envie de partager (genre mon autobiographie en 5 volumes pas encore publiée) ou au pire le cacher comme sur windows? Par contre je veux bien partager ma musique, des photos et autre mais pas en les mettant à un endroit spécifique comme les dossiers partagés.

 

[Moonwalker]

Bonjour,
Une p'tite question sur les droits des fichiers: ça serait plus simple qu'au lieu d'utiliser des dossiers spéciaux (qu'on a pas forcément envie d'utiliser parce que je tiens pas à avoir des choses rangées à 2 endroits différents) et au lieu d'utiliser plusieurs comptes, on pourrait par exemple avoir un seul compte admin puis interdire l'accès à certains dossiers. L'admin a tous les droits et protège ses dossiers avec un mdp par exemple.

Est-ce qu'on empêcher l'accès à un dossier spécifique qu'on a pas envie de partager (genre mon autobiographie en 5 volumes pas encore publiée) ou au pire le cacher comme sur windows?

Les contenus de ~/Documents ; ~/Pictures ; ~/Movies ; ~Music ; ~/Library sont inaccessibles aux autres comptes. Leurs droits sont mapomme (moi) -> lecture et écriture ; everyone -> Accès interdit.

Médite là-dessus.