Scénario #31925
Adaptation smb.conf
100%
Description
Ajouter au template pour désactiver les ACL system:
acl_xattr:ignore system acl = yes
Voir note samba Wiki cf. https://wiki.samba.org/index.php?title=Setting_up_a_Share_Using_Windows_ACLs&type=revision&diff=17345&oldid=17307
À faire¶
- EOLE >= 2.8.1
- vérifier les conséquences de la modification (avant/après)
- pour les vérifications, on pourra s'appuyer sur le test jenkins : https://dev-eole.ac-dijon.fr/jenkins/job/2.8.1/job/test-seth-001-2.8.1-amd64/
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Gilles Grandgérard il y a environ 3 ans
- Echéance mis à 23/04/2021
- Version cible mis à Prestation Cadoles MEN 2021 14-16
- Début mis à 06/04/2021
- Points de scénarios mis à 1.0
#2 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Assigné à mis à Philippe Caseiro
#3 Mis à jour par Joël Cuissinat il y a environ 3 ans
- Description mis à jour (diff)
#4 Mis à jour par Joël Cuissinat il y a environ 3 ans
- Lié à Tâche #32076: Valider le scénario Adaptation smb.conf (sprint 14-16) ajouté
#5 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Statut changé de Nouveau à En cours
- Assigné à changé de Philippe Caseiro à Ludwig Seys
#6 Mis à jour par Ludwig Seys il y a environ 3 ans
- Echéance
23/04/2021supprimé - Version cible
Prestation Cadoles MEN 2021 14-16supprimé - Début
06/04/2021supprimé - Release
EOLE 2.8.1supprimé
Plusieurs points sont à relever :
- la proposition de modification est mal orthographié, il manque le "s" à acls pour correspondre à ce qui est dans le manpage :
Soit => acl_xattr:ignore system acls = yes
- il est nécessaire d'ajouter une ligne supplémentaire pour ne pas prendre en compte les ACL des utilisateurs systèmes :
acl_xattr:default acl style = windows
cf : https://www.samba.org/samba/docs/current/man-html/vfs_acl_xattr.8.html
acl_xattr:default acl style = [posix|windows|everyone] This parameter determines the type of ACL that is synthesized in case a file or directory lacks an security.NTACL xattr. When set to posix, an ACL will be synthesized based on the POSIX mode permissions for user, group and others, with an additional ACE for NT Authority\SYSTEM will full rights. When set to windows, an ACL is synthesized the same way Windows does it, only including permissions for the owner and NT Authority\SYSTEM. When set to everyone, an ACL is synthesized giving full permissions to everyone (S-1-1-0). The default for this option is posix.
- la mise en place ces deux solutions pose un soucis pour les partage hormis [homes]
& [profiles]
par le changement de deux valeurs :
create mask = 0664
devient 0666directory mask = 0775
devient 0777
en effet comme indiqué dans le man ci-dessous ces valeurs seront changées de force, dans notre cas cela rentre en conflit avec les partage de groupes comme indiqué au dessus :
acl_xattr:ignore system acls = [yes|no] When set to yes, a best effort mapping from/to the POSIX ACL layer will not be done by this module. The default is no, which means that Samba keeps setting and evaluating both the system ACLs and the NT ACLs. This is better if you need your system ACLs be set for local or NFS file access, too. If you only access the data via Samba you might set this to yes to achieve better NT ACL compatibility. If acl_xattr:ignore system acls is set to yes, the following additional settings will be enforced: • create mask = 0666 • directory mask = 0777 • map archive = no • map hidden = no • map readonly = no • map system = no • store dos attributes = yes acl_xattr:default acl style = [posix|windows|everyone] This parameter determines the type of ACL that is synthesized in case a file or directory lacks an security.NTACL xattr. When set to posix, an ACL will be synthesized based on the POSIX mode permissions for user, group and others, with an additional ACE for NT Authority\SYSTEM will full rights. When set to windows, an ACL is synthesized the same way Windows does it, only including permissions for the owner and NT Authority\SYSTEM. When set to everyone, an ACL is synthesized giving full permissions to everyone (S-1-1-0). The default for this option is posix.
Comme indiqué dans la man, il ne faut ensuite accéder au fichier que depuis Samba, ce qui n'est aujourd'hui pas le cas (des scripts positionnent des fichiers sans passer par Samba et il existe des accès FTP).
- De façon simple pour activer cette option et ne voir que l'utilisateur en cours via le panneau propriété => sécurité, il faut ajouter pour chaque partage les deux lignes sus-mentionné, dans le fichier de génération des partages soit smb-ad.conf :
exemple
[homes]
acl_xattr:ignore system acls = yes
acl_xattr:default acl style = windows
xxxx
xxxx
xxxx
xxxx
[profiles]
acl_xattr:ignore system acls = yes
acl_xattr:default acl style = windows
xxxx
xxxx
#7 Mis à jour par Emmanuel GARETTE il y a environ 3 ans
- Echéance mis à 23/04/2021
- Version cible mis à Prestation Cadoles MEN 2021 14-16
- Début mis à 06/04/2021
- Release mis à EOLE 2.8.1
#8 Mis à jour par Gilles Grandgérard il y a presque 3 ans
- Statut changé de En cours à Terminé (Sprint)