Projet

Général

Profil

Scénario #31925

Adaptation smb.conf

Ajouté par Gilles Grandgérard il y a environ 3 ans. Mis à jour il y a presque 3 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Ludwig Seys
Catégorie:
-
Version cible:
Distribution EOLE - Prestation Cadoles MEN 2021 14-16
Début:
06/04/2021
Echéance:
23/04/2021
% réalisé:

100%

Points de scénarios:
1.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.8.1
Liens avec la release:
Auto

Description

Ajouter au template pour désactiver les ACL system:

acl_xattr:ignore system acl = yes

Voir note samba Wiki cf. https://wiki.samba.org/index.php?title=Setting_up_a_Share_Using_Windows_ACLs&type=revision&diff=17345&oldid=17307

À faire

Sous-tâches

Tâche #32029: Ajouter la configuration dans le templateNe sera pas résoluLudwig Seys

Demandes liées

Lié à Distribution EOLE - Tâche #32076: Valider le scénario Adaptation smb.conf (sprint 14-16) Fermé 08/04/2021
Bloqué par EOLE AD DC - Tâche #32207: Décider si on active les ACLs en mode Windows Fermé 06/05/2021

Historique

#1 Mis à jour par Gilles Grandgérard il y a environ 3 ans

  • Echéance mis à 23/04/2021
  • Version cible mis à Prestation Cadoles MEN 2021 14-16
  • Début mis à 06/04/2021
  • Points de scénarios mis à 1.0

#2 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Assigné à mis à Philippe Caseiro

#3 Mis à jour par Joël Cuissinat il y a environ 3 ans

  • Description mis à jour (diff)

#4 Mis à jour par Joël Cuissinat il y a environ 3 ans

  • Lié à Tâche #32076: Valider le scénario Adaptation smb.conf (sprint 14-16) ajouté

#5 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Statut changé de Nouveau à En cours
  • Assigné à changé de Philippe Caseiro à Ludwig Seys

#6 Mis à jour par Ludwig Seys il y a environ 3 ans

  • Echéance 23/04/2021 supprimé
  • Version cible Prestation Cadoles MEN 2021 14-16 supprimé
  • Début 06/04/2021 supprimé
  • Release EOLE 2.8.1 supprimé

Plusieurs points sont à relever :

- la proposition de modification est mal orthographié, il manque le "s" à acls pour correspondre à ce qui est dans le manpage :
Soit => acl_xattr:ignore system acls = yes

- il est nécessaire d'ajouter une ligne supplémentaire pour ne pas prendre en compte les ACL des utilisateurs systèmes :
acl_xattr:default acl style = windows

cf : https://www.samba.org/samba/docs/current/man-html/vfs_acl_xattr.8.html

acl_xattr:default acl style = [posix|windows|everyone]

    This parameter determines the type of ACL that is synthesized in case a file or directory lacks an security.NTACL xattr.

    When set to posix, an ACL will be synthesized based on the POSIX mode permissions for user, group and others, with an additional ACE for NT Authority\SYSTEM will full rights.

    When set to windows, an ACL is synthesized the same way Windows does it, only including permissions for the owner and NT Authority\SYSTEM.

    When set to everyone, an ACL is synthesized giving full permissions to everyone (S-1-1-0).

    The default for this option is posix.

- la mise en place ces deux solutions pose un soucis pour les partage hormis [homes] & [profiles] par le changement de deux valeurs :

create mask = 0664 devient 0666
directory mask = 0775 devient 0777

en effet comme indiqué dans le man ci-dessous ces valeurs seront changées de force, dans notre cas cela rentre en conflit avec les partage de groupes comme indiqué au dessus :

acl_xattr:ignore system acls = [yes|no]
           When set to yes, a best effort mapping from/to the POSIX ACL layer will not be done by this module. The default is no, which means that Samba keeps setting and evaluating both the system ACLs and the NT ACLs. This is
           better if you need your system ACLs be set for local or NFS file access, too. If you only access the data via Samba you might set this to yes to achieve better NT ACL compatibility.

           If acl_xattr:ignore system acls is set to yes, the following additional settings will be enforced:

                  •   create mask = 0666

                  •   directory mask = 0777

                  •   map archive = no

                  •   map hidden = no

                  •   map readonly = no

                  •   map system = no

                  •   store dos attributes = yes

       acl_xattr:default acl style = [posix|windows|everyone]
           This parameter determines the type of ACL that is synthesized in case a file or directory lacks an security.NTACL xattr.

           When set to posix, an ACL will be synthesized based on the POSIX mode permissions for user, group and others, with an additional ACE for NT Authority\SYSTEM will full rights.

           When set to windows, an ACL is synthesized the same way Windows does it, only including permissions for the owner and NT Authority\SYSTEM.

           When set to everyone, an ACL is synthesized giving full permissions to everyone (S-1-1-0).

           The default for this option is posix.

Comme indiqué dans la man, il ne faut ensuite accéder au fichier que depuis Samba, ce qui n'est aujourd'hui pas le cas (des scripts positionnent des fichiers sans passer par Samba et il existe des accès FTP).

- De façon simple pour activer cette option et ne voir que l'utilisateur en cours via le panneau propriété => sécurité, il faut ajouter pour chaque partage les deux lignes sus-mentionné, dans le fichier de génération des partages soit smb-ad.conf :
exemple

[homes]
acl_xattr:ignore system acls = yes
acl_xattr:default acl style = windows
xxxx
xxxx
xxxx
xxxx

[profiles]
acl_xattr:ignore system acls = yes
acl_xattr:default acl style = windows
xxxx
xxxx

#7 Mis à jour par Emmanuel GARETTE il y a environ 3 ans

  • Echéance mis à 23/04/2021
  • Version cible mis à Prestation Cadoles MEN 2021 14-16
  • Début mis à 06/04/2021
  • Release mis à EOLE 2.8.1

#8 Mis à jour par Gilles Grandgérard il y a presque 3 ans

  • Statut changé de En cours à Terminé (Sprint)

Formats disponibles : Atom PDF