Project

General

Profile

Tâche #17627

Scénario #17544: Le module Seth doit respecter le mode de fonctionnement cible

Les droits d'accès et les ACL sur les HOME sont incorrects

Added by Fabrice Barconnière over 3 years ago. Updated over 3 years ago.

Status:
Fermé
Priority:
Normal
Start date:
10/17/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
Remaining (hours):
0.0

Description

Par exemple, un utilisateur Domain Users peut accéder à \\dc2.ac-test.lan\admin et créer des répertoires

History

#1 Updated by Klaas TJEBBES over 3 years ago

Un utilisateur autre que "admin" ne devrait pas pouvoir accéder au partage "\\dcX\admin" car c'est un partage dynamique qui prend le nom de celui qui se connecte.
D'ailleurs dans la définition du partage on a :

 [homes]
  path = "/home/adhomes/%u" 


%u = Current Unix username
Bref, si c'est avéré, c'est un bug Samba...

Vérifier que c'est bien dans /home/adhomes/ac-test/admin/ et non pas dans /home/adhomes/ac-test/<login-domain-user>/ que l'accès a été fait (malgré ce qu'affichait Windows...).

#2 Updated by Klaas TJEBBES over 3 years ago

root@dc1:~# pdbedit -h '\\dc2\admin' admin
Unix username:        admin
NT username:          
Account Flags:        [U          ]
User SID:             S-1-5-21-2117336650-2431193363-3771869734-1103
Primary Group SID:    S-1-5-21-2117336650-2431193363-3771869734-513
Full Name:            
Home Directory:       \\dc2\admin
HomeDir Drive:        U:
root@dc2:~# getfacl /home/adhomes/AC-TEST/admin/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/adhomes/AC-TEST/admin/
# owner: root
# group: root
user::rwx
user:AC-TEST/admin:rwx
group::---
mask::rwx
other::---
default:user::rwx   <=========== Ne pas confondre avec "group:users:rwx" où "users" = "Domain Users" 
default:user:AC-TEST/admin:rwx
default:group::---
default:mask::rwx
default:other::---

#3 Updated by Fabrice Barconnière over 3 years ago

Effectivement, c'est trompeur.

Voici ce qui se produit :
  • Connecter un poste au domaine
  • Se connecter sur le domaine avec l'utilisateur admin
  • Créer un utilisateur prof1 avec un homedir sur \\file.ac-test.lan\prof1
  • Se connecter avec ce nouvel utilisateur
  • Dans l'explorateur, aller sur \\dc1.ac-test.lan\admin et créer un répertoire toto
  • Se connecter root en ssh sur dc1.ac-test.fr
  • ll /home/adhomes/AC-TEST/admin/ ne liste aucun répertoire
  • ll /home/adhomes/AC-TEST/prof1/ liste le répertoire toto créé via le poste dans \\dc1.ac-test.lan\admin\

Quel que soit le user saisi dans \\dc1.ac-test.lan\user\, Samba redirige dans le home de l'utilisateur connecté.

#4 Updated by Scrum Master over 3 years ago

  • Status changed from Nouveau to En cours

#5 Updated by Scrum Master over 3 years ago

  • Assigned To set to Fabrice Barconnière

#6 Updated by Scrum Master over 3 years ago

  • Status changed from En cours to Résolu

#7 Updated by Fabrice Barconnière over 3 years ago

  • % Done changed from 0 to 100
  • Remaining (hours) changed from 2.0 to 0.0

Pas un bug, c'est une fonctionnalité.

#8 Updated by Fabrice Barconnière over 3 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF