M
Membre supprimé 1060554
Invité
Le fil étant résolu en pratique, on me passera ces prolongations théoriques...
J'ai déplacé son répertoire perso dans le répertoire /Utilisateurs/VAL/Documents à son nom, depuis ma cession admin.
y a-t'il moyen de surveiller et agir sur le contenu des documents de mon fils (dans sa session VAL) depuis ma session admin ?
Lorsque j'y vais depuis le finder de ma session admin, il y a des petits sens interdit sur les dossiers de mon fils...
Un point problématique qui m'a échappé dans ce fil, depuis le début, est celui que soulève le conflit logique des déclarations citées :
- en fonction des droits POSIX réguliers dans OS X, l'utilisateur admin qu'on appellera ici tophe, lorsqu'il entre en mode graphique (Finder) depuis sa session admin dans le répertoire des Utilisateurs (/Users), a les permissions d'entrer au 1er degré dans l'espace du dossier de compte VAL (le dossier parent). Mais à partir de là, il ne peut pas régulièrement entrer dans les sous-dossiers (enfants) de ce compte (créés par le Système avec l'utilisateur VAL : Bureau, Documents, Images, Musique, Téléchargements, Vidéos) - à l'exception du seul sous-dossier intitulé : Public ouvert à des échanges de documents avec d'autres utilisateurs de l'OS.
- comment donc cette impossibilité d'accès, notamment au sous-dossier Documents du dossier VAL dans les Utilisateurs, a-t-elle pu être surmontée pour permettre la première opération décrite : « J'ai déplacé son répertoire perso dans le répertoire /Utilisateurs/VAL/Documents à son nom, depuis ma session admin », puisque le sous-dossier /Users/VAL/Documents était frappé d'un sens interdit ? Car, si j'ai bien compris, ce n'est pas un dossier présent à l'origine dans la session admin partagée tophe qui a été déplacé dans le dossier de compte VAL, mais son arborescence contenue de fichiers (éventuellement dans des sous-dossiers), lesquels auraient été déplacés à l'intérieur du dossier d'accueil Documents de VAL - n'est-ce pas ? Comment donc le sens interdit a-t-il été surmonté par tophe pour effectuer ce déplacement dans /Users/VAL/Documents - sens interdit reflétant graphiquement la situation de droits POSIX régulière sur le dossier Documents en question :
où on observe que sur l'objet /Users/VAL/Documents (identifié par le d de directory = répertoire) on a pour l'user propriétaire VAL les permissions rwx (read/write/execute : lire, écrire, exécuter <l'entrée à l'espace du répertoire>), mais pour tout membre du groupe primaire staff : --- (ni lire, ni écrire, ni exécuter), et idem pour tout membre du groupe secondaire everyone <ou: other> : --- (ni lire, ni écrire, ni exécuter) ?
- comment donc cette impossibilité d'accès, notamment au sous-dossier Documents du dossier VAL dans les Utilisateurs, a-t-elle pu être surmontée pour permettre la première opération décrite : « J'ai déplacé son répertoire perso dans le répertoire /Utilisateurs/VAL/Documents à son nom, depuis ma session admin », puisque le sous-dossier /Users/VAL/Documents était frappé d'un sens interdit ? Car, si j'ai bien compris, ce n'est pas un dossier présent à l'origine dans la session admin partagée tophe qui a été déplacé dans le dossier de compte VAL, mais son arborescence contenue de fichiers (éventuellement dans des sous-dossiers), lesquels auraient été déplacés à l'intérieur du dossier d'accueil Documents de VAL - n'est-ce pas ? Comment donc le sens interdit a-t-il été surmonté par tophe pour effectuer ce déplacement dans /Users/VAL/Documents - sens interdit reflétant graphiquement la situation de droits POSIX régulière sur le dossier Documents en question :
Bloc de code:
drwx------+ 3 VAL staff /Users/VAL/Documents
=> Le procédé que je vois est que le déplacement aurait été effectué, non pas graphiquement (impossible, comme décrit), mais via une commande dans le «Terminal» utilisant l'élévation de droits sudo, du type :
Bloc de code:
sudo mv /Users/tophe/Documents/VAL/* /Users/VAL/Documents
Soit. Mais alors comment comprendre que quelqu'un capable de passer une commande de type : sudo mv dans le «Terminal», ne saurait pas passer une commande de type : sudo chown ("change_owner") qui est du même niveau logique élémentaire (non plus un "change_location" = mv, mais un "change_owner" = chown) ?
☞ maintenant que ton problème pratique est réglé, TopheLM, peut-être peux-tu éclairer ce point purement théorique rien que pour l'amour de l'art ?
♤
Il semble qu'outre un problème de droits POSIX basiques (instaurer VAL à la place de tophe en user propriétaire des fichiers/sous-dossiers déplacés dans /Users/VAL/Documents) ; un problème de droits d'ACL secondaires était en jeu, comme bompi l'a conjecturé à juste titre, puisqu'il il a fallu une commande de type :
Bloc de code:
sudo chmod -R -N /Users/VAL/Documents
Une ACL (Access Control List) est un fichier invisible attaché à tout objet (fichiers/dossiers) dans OS X, et recelant zéro à n ACE (Access Control Entry) : il s'agit de permissions spéciales sur l'objet attachées à un accédant nominé (utilisateur ou groupe) et qui peuvent consister en "ajouts" (= ACE positive : par exemple, ajouter pour tophe une permission de lecture supplémentaire sur tel ou tel objet dont le propriétaire POSIX est VAL) ; ou en "soustractions" (= ACE négative : par exemple, retrancher pour le groupe secondaire everyone la permission de déplacer l'élément sur tel ou tel objet ciblé).
Des ACE "positives" (ajouts), par définition élargissent les permissions POSIX de base et, par suite, n'ont aucun effet rétroactif sur celles-ci. Il n'en va pas de même, a contrario, pour les ACE "négatives" (soustractions), lesquelles, asymétriquement, ont un effect rétroactif sur les permissions POSIX de base. Un exemple : supposons un dossier dont tophe est l'user en permissions POSIX rwx ; supposons que l'ACL de ce dossier comporte une ACE négative mentionnant pour le groupe secondaire everyone la soustraction spéciale de permission de déplacer des éléments dans ce répertoire (une soustraction donc à la permission globale d'écriture) => eh bien ! cette ACE négative qui ne cible que les membres du groupe "everyone" (n'importe qui) va, rétroactivement, affecter les permissions pléniaires rwx de l'user propriétaire tophe : pour exercer sa permission POSIX de déplacer graphiquement des fichiers dans ce dossier (impliquée par la permission d'écrire w), il va devoir s'authentifier chaque fois par son mot-de-passe admin, alors que l'ACE négative ne le ciblait pas nommément, mais everyone. Car ? Car tophe relève aussi comme quiconque du ce groupe secondaire everyone, et il a donc graphiquement désormais à prouver chaque fois qu'il n'est pas qu'un simple relevant du groupe everyone dans l'action de déplacer des fichiers, mais aussi l'user propriétaire tophe qui possède la permission POSIX légitime de ce faire.
Ainsi, la gestion des ACE négatives est-elle toujours astreignante en pratique, car elle force l'user des objets concernés à administrer chaque fois la preuve par mot-de-passe qu'il se démarque bien du groupe affecté par la soustraction spéciale de permission - ce, uniquement dans la classe d'action sur les objets relevant de l'ACE négative en question, mais nullement pour toute autre classe d'action non affectée par une ACE négative.
Il semble donc que c'était le cas pour les fichiers déplacés par tophe de son dossier de compte dans celui des Documents de VAL - mais alors, si l'aimable assistance a suivi les méandres argumentatifs de ma prose, voici la question qui se pose : si au moins une espèce d'ACE négative concernant la classe d'action : déplacer les fichiers et ciblant présumablement le group:everyone obligeait VAL à une authentification pour prouver qu'il se démarquait bien du "tout_venant" en tant que l'user propriétaire légitime des objets en question ; alors cette ACE héritée par ces objets lors du déplacement opéré par tophe depuis son dossier de compte aurait dû, ab origine, affecter pareillement l'utilisateur tophe lorsqu'il tentait d'opérer une action de la même classe (déplacer) sur les objets originaux concernés dans sa session. Ce, parce qu'un changement d'user propriétaire POSIX (de tophe à VAL sur les fichiers déplacés dans /Users/VAL/Documents) ne modifie absolument pas les entrées d'ACE des fichiers d'ACL associés à ces objets => si, par exemple, une ACE négative : "everyone deny move" affectant les fichiers déplacés dans le dossier de compte de VAL obligeait VAL à s'authentifier pour prouver qu'il était quelque chose de plus qu'un everyone et avait légitimité de déplacer ces objets en tant que leur user légitime => alors la même contrainte pesait au départ sur tophe (et tous ceux qui opéraient sous ce nom dans sa session) relativement à la classe d'action : déplacer, en raison de l'ACE négative : "everyone deny move" attachée à ces objets, et qui a été héritée par les objets déplacés dans le compte de VAL.
☞ d'où ma question : n'y avait-il pas déjà obligation de s'authentifier pour déplacer des fichiers lorsqu'ils faisaient partie du dossier de compte de tophe ?
♧
Dernière édition par un modérateur: