Définir un pool de stockage, une arborescence et des permissions

[Répartout]

Et c'est parti pour une longue série de réflexions sur mes essais de création des datasets (ou répertoires si vous préférez) pour créer mon NAS idéal en gérant les permissions et les accès : ca se fait comment, ca mange quoi l'hiver, etc. etc.…

Petits rappels connus par presque tout le monde mais qui, à mon sens, gagnent à être cités :

- lisez et relisez la/les docs disponibles en Français: le moteur de recherche google est votre ami (durindel.fr par exemple est fortement recommandé)
- Attention aux tutos Youquelquechose; ils sont bien, mais donnent des exemples précis pour une installation d'une version de TrueNas précise, elle aussi, qui n'explique pas, ou très peu ce que sont les permissions. Seule la Doc officielle vous donne les infos correctes, car elle explicite la version actuelle (13-quelquechose au moment ou j'écris ces lignes); Léger problème : elle est en anglais . Pas grave, c'est l'occasion de s'y (re)mettre hein?
- Puisque l'on parle de la doc officielle : celle-ci recommande fortement de réfléchir à l'organisation de son espace de stockage avant de faire quoi que ce soit d'autre et de créer les datasets (répertoires et sous-répertoires quoi) avant de créer les utilisateurs, groupes et permissions associés et enfin et seulement de définir le/les partages pour tout ce beau monde (qui va avoir accès et par quel logiciel)
- Lorsque vous créez un pool grâce à une VDEV (le rassemblement de disques durs qui vont servir d'espace de stockage) un dataset qui porte le même nom est automatiquement créé (le répertoire racine donc)
- Seul l'utilisateur root (racine) qui a créé cet espace de stockage peux gérer (vous donc) les permissions de votre, arborescence de répertoires par l'interface WEB a laquelle, seul le mot de passe root permet d'accéder.
- Il est fortement recommandé de laisser le répertoire racine vide et de créer son arborescence "maison" en dessous de celui-ci

Dernière précision qui n'est pas un rappel: je n'aborderai pas, dans cette suite de messages, l'accès au NAS à partir d'internet. Cela fera l'objet de réflexions ultérieures car mon NAS étant en test et construction, je me limite pour le moment à une utilisation pour mon réseau local

Pour le message suivant : création de mon arborescence personnelle en fonction de mes besoins.
La suite ce soir devant mon PC et mon NAS (quel teasing hein?)

 

[Répartout]

Donc, comme prévu la suite :
le projet:
- Accès pour tous les membres de la famille à un répertoire commun où, tout le monde peut déposer et lire ou supprimer des fichiers quel qu'ils soient: vidéos, photos programmes ou fichiers quelconques.
- Accès pour toute la famille à une bibliothèque de films (mes BD Roms), photos et musiques--> accès à tous les membres de la famille élargie avec des répertoires adaptés = films/photos/musiques/divers.
- accès pour chaque membres de la famille + connections à un répertoire personnel de stockage privé aménageable à volonté.
pour l'accès par l'extérieur, on verra + tard : C.A.D = l'accès par internet sécurisé aux bibliothèques de films/musiques/photos/données communes + accès au répertoire personnel de chaque utilisateur qu'il personnalise à sa main (création/suppression répertoires et fichiers)
Simple non?, euee non??

 

[Répartout]

Mon organisation :

Un dataset global nommé "MAISON" dans lequel tous les utilisateurs définis peuvent lire/écrire et exécuter (tous les droits donc) dans lequel tous le monde peut déposer des "objets" pour les partager.
Un dataset fille nommé "MEDIA" qui sera la racine de répertoires "videos" "musique" "photos" dans lesquels seul le propriétaire a tous les droits car c'est lui qui manage la bibliothèque; les autres membres ont le droit de lire et d'exécuter
Enfin, chaque utilisateur a son répertoire privé ou il a tous les droits et qui n'est accessible que par lui et qu'il organise à sa guise

Deux groupes :
- Un pour accéder au dataset "MAISON" , pratique à mon avis, car tout le monde a les mèmes droits. on l'appelle "pourlamaison"
- Un autre groupe pour accéder au dataset "MEDIAS" pour lire et exécuter par tout le monde. le propriétaire du dataset ne fait pas partie de ce groupe car il a des droits supérieurs (écriture en plus). On l'appelle "pourlesmedias"

Mes Utilisateurs :
- Luc : créateur du NAS, membre du groupe "pourlamaison", propriétaire du dataset "MEDIAS" et "MAISON"

Par défaut et comme tous les systèmes de NAS publics et/ou professionnels, chaque groupement de répertoires et ou d'utilisateurs peut posséder à la racine, un répertoire qui sert de "bac à sable" et de répertoire d'échange et de partage de fichiers plus ou moins volumineux.
En fonction de la politique de l'entreprise, les données sont plus ou moins permanentes (6 mois, dans le cas précis de mon travail) et les fichiers peuvent être limités en taille.
Tous cela pour dire que c'est le genre d'option implantée dans trueNAS qui ne nécessite pas de bidouiller les ACL car tout le monde a tous les droits (lecture, écriture, exécution) et là, je simplifie beaucoup bien sur, mais cela va pile-poil pour la création de mon dataset "MAISON" ou tous mes utilisateurs auront un accès complet.
On va voir ça ce soir car le proxy de mon travail ne me permet pas d'accéder à mon NAS.
A ce soir!

 

[Répartout]

Bonjour à tous et toutes!
Juste un petit message du travail pour dire qu'un changement de matériel m'a fait perdre l'accès à mon ordinateur chez moi.
Depuis, je galère pour récupérer tout cela et c'est la raison pour laquelle mes explorations et constructions de partage du logiciel trueNAS core sont suspendues...
A très bientôt, j'espère..

 

[Répartout]

Bonsoir!
Back to the bizness again! Pfuuuui, quelle m@@@e... enfin quelle galère voulais-je dire.
Et tout cela, entièrement par ma faute car, j'ai à la fois, changé d'opérateur internet et de matériel pour mon pc principal et modifié mon NAS (un DD de plus).
Résultat : mon NAS plus reconnu, mon pc qui ne démarrai plus et, lorsqu'il a enfin démarré, j'ai perdu ma partition linux (merci grub..) et perdu la certification W10 sur la partition Windows (merci Microsoft, car, bien sûr, j'ai un Windows officiel..) ET quand j'ai enfin réglé tout cela j'ai mis lonnnnnntemps à comprendre que, puisque mon NAS avais une IP fixe, ma nouvelle box ne le trouvais pas parce que j'étais passé de 192.168.0.xx à 192.168.1.xx avec ma nouvelle box... le boulet!
Donc : ressortir un écran et un clavier pour accéder à l'interface en ligne de commande du NAS, effacer l'interface réseau enregistrée pour m'en faire attribuer une nouvelle, rebooter le système avec l'interface web et me réattribuer une IP fixe pour le NAS... et nous voila deux semaines plus tard.
Je vais donc continuer mon exploration des partages et permission dans les messages suivants
A très bientôt.

 

[Répartout]

Bon.

Mes connaissances sont celles que j'ai glané sur internet et sont, sans aucun doute, au moins partiellement inexactes. Il se trouvera certainement des personnes beaucoup plus aiguisées sur le sujet qui pourront corriger les erreurs et/ou approximations de mes propos suivants.
Le bût étant, in fine, de construire une modeste base de connaissances en Français pour tous les nouveaux, comme moi, qui se lancent dans l'aventure TrueNAS (core pour ma part).

Avant de commencer les TESTS, un petit résumé de mes connaissances de "base" glanées sur les forums sur le sujet des permissions et les ACLs
Je vais ensuite essayer de comprendre et répondre à la plupart des questions que se pose @Paul042020 dans :
https://www.truenas.com/community/threads/trucs-astuces-tests-sur-les-acls.105391/
Je vais donc ensuite créer le même partage que lui et essayer de comprendre ses problèmes avant de construire mon propre partage.

C'est parti:

Quelques réflexions générales sur ce que je comprends des permissions et partages (critiques/précisions bienvenues)

- Les permissions et les ACLs c'est la même chose.

- Les ACL c'est, comme son nom l'indique , une Accès Control List : soit une Liste de Contrôle D'Accès en français

- Une ACL est un fichier (si si) qui se trouve dans chaque dataset et répertoire et qui précise les permissions rattachées à celui-ci.

- Quand vous déplacez un répertoire, vous déplacez l'ACL qui se trouve dans celui ci (par l'explorateur Windows par exemple, coté client SAMBA).

- Une ACL peut être vide (0,1 ou plusieurs entrées) si, par exemple, les permissions sont héritées (inherit) du répertoire parent.

- Une entrée dans la liste du fichier des ACL, c'est une ACE : Accès Control Entry.

- Il existe deux types d'ACL : celle de base, autrement appelées "trivial", donc triviales en Français et "non-trivial".
° Les triviales sont héritées du monde UNIX qui est l'origine des permission dans TRUENAS et s'exprimait par trois groupes de lettres rwx rwx rwx = ce qui veux dire read write execute pour respectivement en premier le propriétaire du fichier ou répertoire (ou dataset), puis le groupe et enfin les autres (invités-guests) Voir l'excellant tuto de mister Durindel : https://www.durindel.fr/informatique/tuto-freenas-9-3- utilisateurs-datasets-et-permissions
° On vois aussi que, dans la page Wikipédia à laquelle il fait référence dans ce tuto, il est possible d'exprimer ces permissions "triviales" par une suite de chiffres = 777, par exemple, n'est pas la marque du fils du diable (désolé..) mais l'expression numérique des droits complets sur un fichier ou répertoire (ou dataset)

- Le monde de l'informatique en général et d'internet en particulier ayant évolué très vite dans les dernière décennies; il à fallu, pour des questions d'interopérabilité et de sécurité de partage (je résume) passer TRUENAS à la norme NFS V4 --> quésaco? :
Le NFS, Network File System, que l'on pourrait traduire par "Système de fichiers en réseau", est un protocole de transferts de fichiers par le réseau principalement utilisé sur les systèmes Linux/Unix, même s'il est compatible avec Windows et MacOS.
Contrairement au protocole SAMBA qui est, à l'origine conçu par Microsoft pour l'univers Windows.
Entendons nous bien : le protocole SAMBA a, lui aussi, fortement évolué depuis sa création en matière de sécurité et d'interopérabilité, mais, dans le monde des serveurs de production pour les entreprises, les systèmes unix/linux restent majoritaires, d'ou l'évolution pour nous, utilisateurs "lambda" (et gratuits) à partir de la version 11

- Lorsque l'on configure des ACLs avec uniquement owner@ et/ou group@ et/ou everyone@ , alors ce sont des permissions "de base" et l'ACL est considéré comme "trivial" --> autrement dit : moins de problème d'accès (interopérabilité, tous ça..)

La suite bientôt.
A+

 

[Répartout]

suite des réflexions "globales"

- Tous les systèmes d'exploitation récents utilisent NFS V4 (accès, autorisation, partages, lectures/écriture etc..) par exemple sous Windows (je ne connais pas les systèmes Mac Os, mais sous Ubuntu que j'utilisai en dual boot je l'avais aussi), si vos disques/partitions/répertoires et donc fichiers sont formatés en NTFS, alors vous utilisez le protocole NFS V4--> click doit sur propriétés-sécurité et vous retrouvez une grande partie des options que vous avez dans TrueNAS .
- N'utilisez pas, sauf nécessité absolue, des majuscules, espaces, caractères spéciaux, etc. pour vos noms de groupes/users/datasets si vous avez un partage sensible à la casse et, par exemple, des utilisateurs multi environnement. Je sais, c'est stupide à dire, mais j'ai lu quelques messages sur les forums.
- Dans le même ordre d'idée, n'appelez pas un groupe/utilisateur "Group" ou "User" ou "wheel" par exemple, sauf si vous aimez la difficulté...
- dernière réflexion globale sur les noms : lorsque vous créez le 1er (ou seul suivant vos besoins) pool de stockage sur vos disques, celui-ci se matérialise par la création d'un dataset "racine" qui porte le même nom que votre pool de stockage. il est fortement conseillé de laisser celui-ci vide et de créer des datasets enfants en dessous de celui-ci qui, eux, recevront des données à stocker et/ou partager.
- Comme déjà évoqué plus haut, un partage "SAMBA" sur un système NTFS. Windows est presque mais pas exactement du NFS V4 qui est presque mais pas exactement un partage NFS V4 sur MAC et presque mais pas exactement un partage NFS V4 sous linux etc.. --> une règle = faites simple dans du multi environnement : laisser les permissions au max sur les clients et réglez les ACL sur le serveur (le NAS donc). Et même là, pas sûr que vous n'ayez pas des problèmes. Essayez donc un partage "generic" dans ce cas là et évitez absolument d'employer l'option "deny" permissions sur des partages multi environnement car tous les systèmes ne le décodent pas de la même façon!

Dans le prochain message on va passer aux tests pour essayer de comprendre, un peu, les options à notre disposition et comment ordonner tout cela
A+

 

[Répartout]

dans un 1er temps--> création du dataset maison puisque mon pool est déjà créé deux possibilités :
- utiliser les aides existantes dans truenas pour le genre de config ou tout le monde à accès avec tous les droits ou créer un dataset avec les droits "@Everyone" et voir la différence d'accès dans un environnement Windows
- Le dataset : "maison" comme prévu dans ma config :

Là se pose la 1ere question surlignée en rouge : generic ou Samba?
Bien sûr, la ligne au dessus va passer en "insensitive" si je choisis samba = c'est ce que je vais faire pour tester mes partage sous W10--> je choisis donc "SMB"(samba) et la ligne au dessus passe en "insensitive"
les autres lignes ne sont pas modifiées car hors du cadre de test des permissions pour le moment.
- Les options avancées n'ont pas lieu, pour ce moment du test d'être modifiées
- voyons les autorisations :

1ere surprise

Je me retrouve avec plus d'ACEs que je me l'imaginais.
Est ce que c'est parce que j'ai déjà créé les utilisateurs? je n'ai pas la réponse formelle à cette question mais je pense que l'ajout de cette ACE dans ma liste est due au fait que j'ai déjà créé mes utilisateurs et, comme les versions 13.x tentent de nous simplifier le travail, tout utilisateur déclaré dans le nas est automatiquement ajouté au groupe prédéfini "builtin_useurs"
- deux constats constats ici :
° J'ai deux entrées "groupes" donc au moins une que je vais supprimer.
° Il y a aussi l'entrée "everyone" qui pourrait me permettre de supprimer les deux entrées groupe mais l'autorisation est réglée sur "traverser"

Bon. Je ne touche à rien et on va voir ce que cela donne avec le partage samba sous w10 :