Project

General

Profile

Tâche #28393

Scénario #28391: Corrections sur le module SETH

Pb d'ACL sur les partages "individuel"

Added by Emmanuel IHRY 4 months ago. Updated 3 months ago.

Status:
Ne sera pas résolu
Priority:
Normal
Assigned To:
-
Start date:
05/20/2019
Due date:
% Done:

0%

Remaining (hours):

Related issues

Related to EOLE AD DC - Tâche #28395: Ajout d'un script seth_remet_perm_individu Fermé 05/20/2019

History

#1 Updated by Emmanuel IHRY 4 months ago

si les partages individuels sont activés, un utilisateur se connectant sur un serveur bureautique (eSBL ou Seth-membre) a un dossier à son nom de créé avec droit en rwx uniquement pour lui

Sur le Seth-membre, il y a manifestement une anomalie dans le smb.conf

root preexec = /usr/share/eole/sbin/create_adhome.sh "%u" "/home/data/bureautique/individuel"

il manque dans le chemin du dossier individuel un %d car les dossiers utilisateur sont créés par exemple sous /home/data/bureautique/individuel/DOMAINE/ (avec le nom de domaine)

vérifier si le script /usr/share/eole/sbin/create_adhome.sh n'a pas également une anomalie dans la pose des droits, script de l'eSBL : /usr/share/eole/sbin/mkhomedir.sh

cat /usr/share/eole/sbin/create_adhome.sh
#!/bin/bash
login=${1}
homebasedir=${2}
userdir="${homebasedir}/${login}" 
[ -d "${userdir}" ] && exit 0
mkdir -p "${userdir}" 
setfacl -Rbk "${userdir}" 
chmod 700 "${userdir}" 
setfacl -m u:${login}:rwx "${userdir}" 
setfacl -dm u:${login}:rwx "${userdir}" 

dans notre cas login=prenom.nom, sur les eSBL, les comptes étaient vu en domaine+prenom.nom donc incidence sur setfacl mais le seth membre ou DC les affiche maintenant domaine/prenom.nom

#2 Updated by Joël Cuissinat 4 months ago

Pour obtenir l'affichage des noms courts (ie sans "domaine" et "séparateur" devant), il faut ajouter l'option suivante :

    winbind use default domain = Yes

#3 Updated by Scrum Master 4 months ago

  • Status changed from Nouveau to En cours

#4 Updated by Remi BAPTISTE 4 months ago

Nous rencontrons un problème sur les acl des dossiers individuelles sur un seth membre lorsqu'un service installe un seth membre avec préservation de données ( par exemple: données récupérées sur un eSBL 2.6.2).

Lorsqu'un nouveau dossier individuel est créé (avec le script "/usr/share/eole/sbin/create_adhome.sh" du seth membre, tout est OK ( l'utilisateur accède à son dossier).
Par contre les répertoires individuels qui sont récupérés par la préservation de données sont inaccessibles.

ACL sur répertoire récupéré lors de la préservation de données:
/home/data/bureautique/individuel/DOMAINE#ll
drwx--x--x 6 DOMAINE/prenom.nom DOMAINE/domain users 4096 juin 6 09:57 prenom.nom

root@seth-domaine-01:/home/data/bureautique/individuel/DOMAINE# getfacl prenom.nom/
  1. file: prenom.nom/
  2. owner: DOMAINE/prenom.nom
  3. group: DOMAINE/domain\040users
    user::rwx
    group::--x
    other::--x

ACL répertoire créé via le script du seth membre:
/home/data/bureautique/individuel/DOMAINE#ll
drwxrwx---+ 9 root root 4096 juin 5 17:49 prenom1.nom1

root@seth-domaine-01:/home/data/bureautique/individuel/DOMAINE# getfacl prenom1.nom1/
  1. file: prenom1.nom1/
  2. owner: root
  3. group: root
    user::rwx
    user:DOMAINE/prenom1.nom1:rwx
    group::---
    mask::rwx
    other::---
    default:user::rwx
    default:user:DOMAINE/prenom1.nom1:rwx
    default:group::---
    default:mask::rwx
    default:other::---

On s'aperçoit qu'il manque des ACL sur les répertoires qui ont été récupérés.
Il faudrait créer un script pour remettre en place les ACL manquantes sur les répertoires récupérés lors de la préservation de données.

Soit un script à lancer manuellement lors d'une préservation de données soit si possible un script qui vérifie les ACL et se lance si besoin.

#5 Updated by Emmanuel IHRY 3 months ago

  • Status changed from En cours to Ne sera pas résolu

ce n'est pas un bug, le comportement du SETH et normal. Il faut ne revanche faire un script qui transforme les ACL esbl en acl seth. Objet d'une autre tache

#6 Updated by Benjamin Bohard 3 months ago

  • Related to Tâche #28395: Ajout d'un script seth_remet_perm_individu added

Also available in: Atom PDF