Re: [Admin-ml] TimeMachine réseau

Matthieu Brunet osx at brunet-prod.com
Lun 20 Avr 21:00:24 CEST 2009


Le 20 avr. 09 à 18:35, François SCHOSSIG a écrit :

> Oui, mais :-)
>
> - un utilisateur local non admin de sa machine ne semble pas pouvoir  
> sauvegarder sa machine avec TimeMachine, il faut donc passer par un  
> admin de la machine pour faire des sauvegardes,
> - il faut donc soit avoir un utilisateur unique pour faire les  
> sauvegardes, donc avec son mot de passe stocké dans le trousseau  
> Système, accessible à partir d'un utilisateur admin de la machine  
> (j'ai deux utilisateurs admin de chaque machine : un que je garde  
> pour moi, avec un mot de passe unique pour toutes les machines et un  
> autre, avec un mot de passe spécifique à chaque machine, au cas où  
> j'aurais à le donner aux utilisateurs bloqués lors d'un déplacement).
>
> Si c'est un utilisateur admin unique pour toutes les machines qui  
> fait la sauvegarde, cet utilisateur a accès à toutes les  
> sauvegardes...

Il va pouvoir monter l'image disque, effectivement. Mais il sera dans  
la même situation que quand tu es logué en tant qu'admin et que tu  
essaye d'accéder aux documents d'un utilisateur normal : ils ne sont  
pas accessible directement (il y a un sens interdit)
>
> Si c'est un utilisateur admin spécifique à chaque machine, il faut  
> que tous ces utilisateurs soient déclarés dans l'OpenDirectory pour  
> pouvoir gérer les droits d'accès au dossier TimeMachine du serveur  
> (à moins de laisser ce dossier en lecture écriture pour tout le  
> monde...)

Oui, mais bon, ça, les utilisateurs créés dans l'open directory, c'est  
utile à plein de trucs, quand on a un serveur, ça vaut donc le coup de  
le faire, surtout que c'est une des conditions de ta solution ci- 
dessous.
Personnellement, c'est mon cas : tout le monde est admin sur sa  
machine, et j'ai créé chaque utilisateur sur le serveur. Et ensuite,  
chaque utilisateur ne peut monter que sa propre image disque.
>
>
> En fait, je me demande s'il ne faut pas tout simplement que je mette  
> chaque utilisateur admin de sa propre machine :
> -> avec les préférences gérées, on peut interdire certaines modifs  
> aux admins locaux,
> -> pour éviter qu'ils n'installent n'importe quoi, il suffit de les  
> embêter avec des réinstallations intempestives par DeployStudio (par  
> exemple)...
> -> et de toute façon, ils peuvent installer n'importe quoi dans ~/ 
> Applications... (s'ils savent ceci).
>
> --
> F. SCHOSSIG, ICT Manager
> Assemblée des Régions d'Europe
> http://www.aer.eu
>
>
> Le 20 avr. 09 à 17:44, Matthieu Brunet a écrit :
>
>>
>>
>> Le 20 avr. 09 à 17:32, François SCHOSSIG a écrit :
>>
>>> Je vais reprendre dans un prochain message la succession des tests  
>>> que j'ai fait.
>>> -> ce message est une réflexion par écrit...
>>>
>>> Pour répondre à l'histoire de l'accès à une sauvegarde :
>>> - tu te connectes au serveur de fichiers avec le nom et mot de  
>>> passe de l'utilisateur qui a fait la sauvegarde (les droits sont  
>>> 700 sur le sparsebundle pour lui), -> c'est ce nom et mot de passe  
>>> qui est stocké dans le trousseau Système du poste client,
>>> - tu double cliques l'image...
>>> - et elle s'ouvre tout simplement avec droit lecture sur tout son  
>>> contenu...
>>> Tout ceci, sans être root...
>>
>> oui, mais uniquement l'image de cet utilisateur avec lequel tu es  
>> logué, pas les autres !! ce qui permet à la personne d'accéder à  
>> ses propres données, mais pas à celles des autres
>>>
>>>
>>> Ah, si, d'accord : tu voudrais dire qu'il faudrait que je fasse un  
>>> point de partage TimeMachine par poste, avec un utilisateur par  
>>> poste ayant le droit de sauvegarder, chacun dans son point de  
>>> partage à lui...
>>> C'est vrai que je n'ai qu'une 20aine d'utilisateurs avec  
>>> TimeMachine, mais bon, c'est pas génial...
>>>
>>> Une autre possibilité serait de donner accès à un utilisateur  
>>> administrateur local d'un poste au disque de sauvegarde, cet  
>>> administrateur n'aurait donc accès qu'à sa propre sauvegarde.
>>> Cela oblige alors :
>>> - soit à faire de chaque utilisateur l'administrateur de sa  
>>> machine (y me cassent déjà assez de choses en ne l'étant pas alors  
>>> j'imagine s'ils l'étaient...),
>>> - soit à ajouter un compte admin par machine dans l'OpenDirectory...
>>> Bof...
>>>
>>> Je n'ai pas encore testé s'il est possible de TimeMachiner quand  
>>> on n'est pas administrateur de sa propre machine ??? -> j'y vais,  
>>> à tout hasard.
>>> --
>>> F. SCHOSSIG, ICT Manager
>>> Assemblée des Régions d'Europe
>>> http://www.aer.eu
>>>
>>>
>>> Le 20 avr. 09 à 16:13, Matthieu Brunet a écrit :
>>>
>>>>
>>>> Heu... je ne comprends pas... tu as réglé time machine sur tous  
>>>> les postes avec le même utilisateur et le même mot de passe ?
>>>> Et de toute façon, même si c'est le cas, les fichiers des autres  
>>>> utilisateurs sont toujours enregistrés avec les droits du  
>>>> propriétaires, donc invisibles aux autres, même à  
>>>> l'administrateur, non ?
>>>> Enfin moi, personnellement, quand je veux aller voir le contenu  
>>>> d'une sauvegarde, je n'ai pas trouvé d'autres moyens que de  
>>>> passer en root, ou de me loguer sous le nom de l'utilisateur en  
>>>> question. Et root, c'est parce que les fichiers sont en local.  
>>>> Mais quand à copier une image disque time machine sur ma machine,  
>>>> j'ai essayé, il ne veut pas. utilisateur admin ou pas.
>>>>
>>>> Le 20 avr. 09 à 15:53, François SCHOSSIG a écrit :
>>>>
>>>>> En fait, le problème reste.
>>>>> Je me suis trompé : le mot de passe est stocké dans le keychain  
>>>>> Système, ce qui est ennuyeux ! Bon, seulement un tout petit peu,  
>>>>> mais...
>>>>>
>>>>> Cela veut dire que si pour une raison ou pour une autre, on est  
>>>>> obligé de donner le mot de passe d'administration à un  
>>>>> utilisateur nomade, car il est bloqué à l'autre bout de l'Europe  
>>>>> (c'est déjà assez loin...), par exemple pour modifier une  
>>>>> configuration réseau, cet utilisateur pourrait :
>>>>> - aller dans son trousseau,
>>>>> - aller chercher le mot de passe de l'utilisateur de backup,  
>>>>> dans le trousseau système, grâce au mot de passe  
>>>>> d'administrateur local,
>>>>> - se connecter au serveur de fichier avec ce nom et mot de passe,
>>>>> - télécharger l'image disque de sauvegarde qui l'intéresse (pas  
>>>>> la sienne dans ce cas...),
>>>>> - puis ouvrir cette image disque toujours avec un nom et mot de  
>>>>> passe administrateur, en disant de ne pas tenir compte des  
>>>>> droits...
>>>>> Et hop, l'utilisateur en question a accès à tout.
>>>>>
>>>>> Je n'ai pas d'utilisateur qui saurait aller jusque là, mais sait- 
>>>>> on jamais...
>>>>>
>>>>> J'ai limité un part du problème lié au fait de donner le mot de  
>>>>> passe d'administration local : chaque ordinateur portable a un  
>>>>> administrateur local avec un mot de passe distinct des autres  
>>>>> ordinateurs portables...
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Admin-ml mailing list
>>>> Admin-ml at mosx.org
>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> Admin-ml mailing list
>>> Admin-ml at mosx.org
>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>>
>>
>>
>> _______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>>
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>





Plus d'informations sur la liste de diffusion Admin-ml