Tâche #14929: Partages samba: plus d'accès aux répertoires ayant un mauvais encodage, la directive 'directory mask ' n'autorise plus le droit d'écriture pour les groupes - eSBL - Ensemble Ouvert Libre Évolutif

Tâche #14929

Distribution EOLE - Scénario #16578: traitement express

Partages samba: plus d'accès aux répertoires ayant un mauvais encodage, la directive 'directory mask ' n'autorise plus le droit d'écriture pour les groupes

Ajouté par christophe guerinot il y a environ 8 ans. Mis à jour il y a presque 8 ans.

Statut:

Fermé

Priorité:

Haut

Assigné à:

christophe guerinot

Version cible:

Distribution EOLE - sprint 2016 25-27 - Equipe PNE-SR

Début:

21/09/2015

Echéance:

% réalisé:

100%

Temps estimé:

6.00 h

Temps passé:

8.00 h

Restant à faire (heures):

0.0

Description

Deux dysfonctionnements sur les partages samba constatés au MEDDE depuis le passage en eole2.5 , alors que fonctionnel en eole 2.4

renommage_fichiers.py Voir (2,75 ko) christophe guerinot, 08/03/2016 17:20

Révisions associées

Révision 8d5994b0 (diff)
Ajouté par christophe guerinot il y a presque 8 ans

smb-include_shares.conf : Valeur de la directive 'obey pam restrictions' à 'No' ( fixes #14929 @8.0 ).

permet de corriger un bug sur les droits lors de la création de fichiers avec MSWord à partir de client Seven

adaptation de la création automatique des répertoires individuels

Révision d14fa97a (diff)
Ajouté par christophe guerinot il y a presque 8 ans

70_esbl.xml: Actualisation du dico suite à la suppression du template 'common-session.ecdl' ( ref #14929 ).

Révision eb8a53c8 (diff)
Ajouté par christophe guerinot il y a presque 8 ans

Suppression du template samba.ecdl du fichier /etc/.pam.d/samba', samba ne s'appuie plus sur pam ( ref #14929 ).

Historique

#1 Mis à jour par Thierry Bertrand il y a environ 8 ans

Tâche parente changé de #14700 à #14733

#2 Mis à jour par Thierry Bertrand il y a environ 8 ans

Projet changé de eCDL à eSBL

#3 Mis à jour par Thierry Bertrand il y a environ 8 ans

Priorité changé de Normal à Haut
Temps estimé mis à 6.00 h
Tâche parente changé de #14733 à #15118
Restant à faire (heures) mis à 6.0

#4 Mis à jour par Thierry Bertrand il y a environ 8 ans

Tâche parente changé de #15118 à #15299

#5 Mis à jour par christophe guerinot il y a environ 8 ans

Fichier renommage_fichiers.py Voir ajouté

Encodage: Parmi les solutions de contournement, ci-joint le script de Sodara "qui ré-encode les noms de fichiers +
répertoires et les renomme pour ne mettre que des caractères autorisés (et enlever les accents)"
Merci Sodara :)

#6 Mis à jour par christophe guerinot il y a environ 8 ans

Statut changé de Nouveau à En cours

#7 Mis à jour par Thierry Bertrand il y a environ 8 ans

Statut changé de En cours à Nouveau
Tâche parente changé de #15299 à #15626

#8 Mis à jour par christophe guerinot il y a environ 8 ans

Statut changé de Nouveau à En cours

#9 Mis à jour par christophe guerinot il y a environ 8 ans

Statut changé de En cours à Nouveau

#10 Mis à jour par Thierry Bertrand il y a environ 8 ans

Tâche parente changé de #15626 à #15871

#11 Mis à jour par Thierry Bertrand il y a presque 8 ans

Tâche parente changé de #15871 à #16085

#12 Mis à jour par Emmanuel IHRY il y a presque 8 ans

Tâche parente changé de #16085 à #16199

#13 Mis à jour par Emmanuel IHRY il y a presque 8 ans

Tâche parente changé de #16199 à #16578

#14 Mis à jour par christophe guerinot il y a presque 8 ans

Statut changé de Nouveau à En cours

#15 Mis à jour par christophe guerinot il y a presque 8 ans

Depuis samba 4.3.9 les nouveaux fichiers créés avec MSWord n'ont plus le droit d'écriture sur le groupe propriétaire à partir d'un client Seven.
Il n'y a pas de problème avec LibreOffice (et OpenOffice), pas de problème non plus à partir d'un client XP.

De même il n'y a pas de problème sur le scribe (ni sur l'eCdl) du fait de la directive "obey pam restrictions" à "No"

Pour le test, il n'y a pas d'acl positionnées

le partage est défini par

[pnesr]
    comment = pnesr
    path = /home/pnesr
    read only = No
    create mask = 0660
    directory mask = 0770
    directory mode = 0770

et pour les droits unix

drwxrws--- 7 root TEST-PNESR+sg 4096 juin  29 19:38 /home/pnesr

sur l'eSbl avec la directive "obey pam restrictions" à "Yes"

les fichiers créés avec MSWord génère des acl qui ne donnent pas de droits d'écriture au groupe

-rw-rwx---+ 1 TEST-PNESR+local.pnesr-cgu3 TEST-PNESR+sg 24064 juin  29 19:37 w7-Word-doc-pnesr-cgu3-05.doc

~# getfacl /home/pnesr/w7-Word-doc-pnesr-cgu3-05.doc
(...)
group:TEST-PNESR+sg:r-- 
(...)

quand on passe la directive "obey pam restrictions" à "No"

il y a bien les droits d'écriture pour le groupe

f# getfacl /home/pnesr/rep-pnesr-cgu3/w7-Word-doc-pnesr-cgu3-02.doc 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/pnesr/rep-pnesr-cgu3/w7-Word-doc-pnesr-cgu3-02.doc
# owner: TEST-PNESR+local.pnesr-cgu3
# group: TEST-PNESR+sg
user::rw-
user:TEST-PNESR+sg:rw-
group::rw-
group:TEST-PNESR+local.pnesr-cgu3:rw-
group:TEST-PNESR+sg:rw-
mask::rwx
other::---

un autre utilisateur du groupe 'TEST-PNESR+sg' peut donc modifier le fichier MSWord créé

(1) - reste à voir

certaines des acl générées par MSWord semblent incohérentes

(...)
user:TEST-PNESR+sg:rw-
(...)
group:TEST-PNESR+local.pnesr-cgu3:rw-
(...)

acl de groupe 'TEST-PNESR+sg' sur le propriétaire
et acl d'utilisateur 'TEST-PNESR+local.pnesr-cgu3' sur le groupe

ce comportement ne se produit pas sur le scribe, ni sur l'eCdl, où la création d'un fichier MSWord génère également des acl

-rw-rwxr--+ 1 premier.bureau sg 24064 juin  24 20:14 w7-Word-doc-premier-bureau.doc

~# getfacl /home/pnesr/w7-Word-doc-premier-bureau.doc 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/pnesr/w7-Word-doc-premier-bureau.doc
# owner: premier.bureau
# group: sg
user::rw-
user:premier.bureau:rw-
group::rw-
group:sg:rw-
mask::rwx
other::---

(2) l'utilisation de la directive "obey pam restrictions" à "No" ne permet plus de générer automatiquement les répertoires individuels

# cat /etc/pam.d/common-session
(...)
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066
(...)

adaptation en utilisant une directive preexe dans la définition du partage [homes]

[homes]
(...)
    root preexec = /usr/share/eole/sbin/mkhomedir.sh %D %S %G %w

avec le script mkhomedir.sh permettant de retrouver le même comportement qu'avec le module pam

# cat /usr/share/eole/sbin/mkhomedir.sh 
#!/bin/bash

if [ "$4" == "" ]; then
    echo "syntaxe $(basename $0) <NomDomaine> <Account> <GroupeProprietaire> <SeparateurWinbind>" 
    exit 1
fi

REP_INDIVIDUEL=/data/bureautique/individuel
CURRENT_UMASK=$(umask)

# le quatrième paramètre correspond au séparateur winbind

if [ ! -e $REP_INDIVIDUEL/$1/$2 ]; then
    if [ ! -e "$REP_INDIVIDUEL/$1" ]; then
        mkdir $REP_INDIVIDUEL/$1
        chmod 755 $REP_INDIVIDUEL/$1
    fi
    umask=0066
    mkdir $REP_INDIVIDUEL/$1/$2
    chown $1$4$2:$3 $REP_INDIVIDUEL/$1/$2
    chmod g-s $REP_INDIVIDUEL/$1/$2
    chmod 0711 $REP_INDIVIDUEL/$1/$2
    umask=$CURRENT_UMASK
fi
exit 0

#16 Mis à jour par christophe guerinot il y a presque 8 ans

Statut changé de En cours à Résolu
% réalisé changé de 0 à 100

Appliqué par commit conf-esbl:8d5994b04e0899c1b5d7faf8a36633d3456bc3fa.

#17 Mis à jour par christophe guerinot il y a presque 8 ans

Sujet changé de Partages samba: plus d'accès aux répertoires ayant un mauvais encodage, la directive 'directory mask ' n'autorise plus le droit d'écriture pour les groupes à Partages samba: plus d'accès aux répertoires ayant un mauvais encodage, la directive 'directory mask ' n'autorise plus le droit d'écriture pour les groupes
Restant à faire (heures) changé de 6.0 à 0.0

#18 Mis à jour par Thierry Bertrand il y a presque 8 ans

Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Modules » eSBL

Demandes

Rapports personnalisés