Distribution EOLE » Modules » eSBL

Depuis samba 4.3.9 les nouveaux fichiers créés avec MSWord n'ont plus le droit d'écriture sur le groupe propriétaire à partir d'un client Seven.
Il n'y a pas de problème avec LibreOffice (et OpenOffice), pas de problème non plus à partir d'un client XP.

De même il n'y a pas de problème sur le scribe (ni sur l'eCdl) du fait de la directive "obey pam restrictions" à "No"

Pour le test, il n'y a pas d'acl positionnées

le partage est défini par

[pnesr]
    comment = pnesr
    path = /home/pnesr
    read only = No
    create mask = 0660
    directory mask = 0770
    directory mode = 0770

et pour les droits unix

drwxrws--- 7 root TEST-PNESR+sg 4096 juin  29 19:38 /home/pnesr

sur l'eSbl avec la directive "obey pam restrictions" à "Yes"

les fichiers créés avec MSWord génère des acl qui ne donnent pas de droits d'écriture au groupe

-rw-rwx---+ 1 TEST-PNESR+local.pnesr-cgu3 TEST-PNESR+sg 24064 juin  29 19:37 w7-Word-doc-pnesr-cgu3-05.doc

~# getfacl /home/pnesr/w7-Word-doc-pnesr-cgu3-05.doc
(...)
group:TEST-PNESR+sg:r-- 
(...)

quand on passe la directive "obey pam restrictions" à "No"

il y a bien les droits d'écriture pour le groupe

f# getfacl /home/pnesr/rep-pnesr-cgu3/w7-Word-doc-pnesr-cgu3-02.doc 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/pnesr/rep-pnesr-cgu3/w7-Word-doc-pnesr-cgu3-02.doc
# owner: TEST-PNESR+local.pnesr-cgu3
# group: TEST-PNESR+sg
user::rw-
user:TEST-PNESR+sg:rw-
group::rw-
group:TEST-PNESR+local.pnesr-cgu3:rw-
group:TEST-PNESR+sg:rw-
mask::rwx
other::---

un autre utilisateur du groupe 'TEST-PNESR+sg' peut donc modifier le fichier MSWord créé

(1) - reste à voir

certaines des acl générées par MSWord semblent incohérentes

(...)
user:TEST-PNESR+sg:rw-
(...)
group:TEST-PNESR+local.pnesr-cgu3:rw-
(...)

acl de groupe 'TEST-PNESR+sg' sur le propriétaire
et acl d'utilisateur 'TEST-PNESR+local.pnesr-cgu3' sur le groupe

ce comportement ne se produit pas sur le scribe, ni sur l'eCdl, où la création d'un fichier MSWord génère également des acl

-rw-rwxr--+ 1 premier.bureau sg 24064 juin  24 20:14 w7-Word-doc-premier-bureau.doc

~# getfacl /home/pnesr/w7-Word-doc-premier-bureau.doc 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/pnesr/w7-Word-doc-premier-bureau.doc
# owner: premier.bureau
# group: sg
user::rw-
user:premier.bureau:rw-
group::rw-
group:sg:rw-
mask::rwx
other::---

(2) l'utilisation de la directive "obey pam restrictions" à "No" ne permet plus de générer automatiquement les répertoires individuels

# cat /etc/pam.d/common-session
(...)
session required pam_mkhomedir.so skel=/etc/skel/ umask=0066
(...)

adaptation en utilisant une directive preexe dans la définition du partage [homes]

[homes]
(...)
    root preexec = /usr/share/eole/sbin/mkhomedir.sh %D %S %G %w

avec le script mkhomedir.sh permettant de retrouver le même comportement qu'avec le module pam

# cat /usr/share/eole/sbin/mkhomedir.sh 
#!/bin/bash

if [ "$4" == "" ]; then
    echo "syntaxe $(basename $0) <NomDomaine> <Account> <GroupeProprietaire> <SeparateurWinbind>" 
    exit 1
fi

REP_INDIVIDUEL=/data/bureautique/individuel
CURRENT_UMASK=$(umask)

# le quatrième paramètre correspond au séparateur winbind

if [ ! -e $REP_INDIVIDUEL/$1/$2 ]; then
    if [ ! -e "$REP_INDIVIDUEL/$1" ]; then
        mkdir $REP_INDIVIDUEL/$1
        chmod 755 $REP_INDIVIDUEL/$1
    fi
    umask=0066
    mkdir $REP_INDIVIDUEL/$1/$2
    chown $1$4$2:$3 $REP_INDIVIDUEL/$1/$2
    chmod g-s $REP_INDIVIDUEL/$1/$2
    chmod 0711 $REP_INDIVIDUEL/$1/$2
    umask=$CURRENT_UMASK
fi
exit 0