1.9. Configuration d'un partage utilisant les ACL de Windows
Samba prend en charge la définition des ACL Windows sur les partages et les objets du système de fichiers. Cela vous permet de :
- Utiliser les ACL Windows à granularité fine
- Gérer les autorisations de partage et les listes de contrôle d'accès au système de fichiers à l'aide de Windows
Vous pouvez également configurer un partage pour qu'il utilise des ACL POSIX.
Pour plus d'informations, voir Configuration d'un partage de fichiers Samba utilisant des ACL POSIX.
Certaines parties de cette section ont été reprises de la documentation Setting up a Share Using Windows ACLs publiée dans le Samba Wiki. Licence : CC BY 4.0. Auteurs et contributeurs : Voir l'onglet historique de la page Wiki.
1.9.1. Octroi du privilège SeDiskOperatorPrivilege
Seuls les utilisateurs et les groupes disposant du privilège SeDiskOperatorPrivilege
peuvent configurer les autorisations sur les partages qui utilisent les ACL de Windows.
Procédure
Par exemple, pour accorder le privilège
SeDiskOperatorPrivilege
au groupeDOMAIN\Domain Admins
groupe :#
net rpc rights grant "DOMAIN\Domain Admins" SeDiskOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password: Successfully granted rights.NoteDans un environnement de domaine, accordez
SeDiskOperatorPrivilege
à un groupe de domaine. Cela vous permet de gérer le privilège de manière centralisée en mettant à jour l'appartenance d'un utilisateur à un groupe.Pour dresser la liste de tous les utilisateurs et groupes auxquels
SeDiskOperatorPrivilege
a été accordé :#
net rpc rights list privileges SeDiskOperatorPrivilege -U "DOMAIN\administrator"
Enter administrator's password: SeDiskOperatorPrivilege: BUILTIN\Administrators DOMAIN\Domain Admins
1.9.2. Activation de la prise en charge des ACL de Windows
Pour configurer des partages prenant en charge les ACL Windows, vous devez activer cette fonctionnalité dans Samba.
Conditions préalables
- Un partage d'utilisateurs est configuré sur le serveur Samba.
Procédure
Pour l'activer globalement pour tous les partages, ajoutez les paramètres suivants à la section
[global]
du fichier/etc/samba/smb.conf
:vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
Vous pouvez également activer la prise en charge de Windows ACL pour des partages individuels, en ajoutant les mêmes paramètres à la section d'un partage.
Redémarrez le service
smb
:#
systemctl restart smb
1.9.3. Ajout d'un partage utilisant les ACL de Windows
Cette section explique comment créer un partage nommé example
, qui partage le contenu du répertoire /srv/samba/example/
et utilise les ACL de Windows.
Procédure
Créez le dossier s'il n'existe pas. Par exemple :
#
mkdir -p /srv/samba/example/
Si vous utilisez SELinux en mode
enforcing
, définissez le contextesamba_share_t
pour le répertoire :#
semanage fcontext -a -t samba_share_t "/srv/samba/example(/.*)?"
#restorecon -Rv /srv/samba/example/
Ajoutez l'exemple de partage au fichier
/etc/samba/smb.conf
. Par exemple, pour ajouter le partage en écriture :[example] path = /srv/samba/example/ read only = no
NoteIndépendamment des ACL du système de fichiers, si vous ne définissez pas
read only = no
, Samba partage le répertoire en mode lecture seule.Si vous n'avez pas activé la prise en charge des ACL Windows dans la section
[global]
pour tous les partages, ajoutez les paramètres suivants à la section[example]
pour activer cette fonctionnalité pour ce partage :vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes
Vérifiez le fichier
/etc/samba/smb.conf
:#
testparm
Ouvrez les ports requis et rechargez la configuration du pare-feu à l'aide de l'utilitaire
firewall-cmd
:#
firewall-cmd --permanent --add-service=samba
#firewall-cmd --reload
Redémarrez le service
smb
:#
systemctl restart smb
1.9.4. Gestion des autorisations de partage et des listes de contrôle d'accès au système de fichiers d'un partage utilisant les listes de contrôle d'accès de Windows
Pour gérer les autorisations de partage et les ACL du système de fichiers sur un partage Samba qui utilise des ACL Windows, utilisez une application Windows, telle que Computer Management
. Pour plus de détails, voir la documentation Windows. Vous pouvez également utiliser l'utilitaire smbcacls
pour gérer les ACL.
Pour modifier les autorisations du système de fichiers à partir de Windows, vous devez utiliser un compte auquel le privilège SeDiskOperatorPrivilege
a été accordé.
Ressources supplémentaires