Projet

Général

Profil

Tâche #34011

Scénario #33401: EOLE 2.9 : Gestion "wide links = yes" à vérifier

Vérification du "wide links = yes" en 2.9.0

Ajouté par Laurent Gourvenec il y a presque 2 ans. Mis à jour il y a presque 2 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Début:
28/03/2022
Echéance:
% réalisé:

100%

Restant à faire (heures):
0.0

Historique

#1 Mis à jour par Laurent Gourvenec il y a presque 2 ans

  • Statut changé de Nouveau à À valider

#2 Mis à jour par Laurent Gourvenec il y a presque 2 ans

Scribe 2.9.0 étant à moitié cassé pour le moment (l'ajout d'utilisateur ne fonctionne pas, winbindd ne trouve pas le nom de domaine "dompedago", etc...) nous avons testé dans le conteneur addc en modifiant la conf pour ajouter 2 partages.
Ajouter "wide links = yes" dans chaque section ou seulement dans la section global n'a pas été suffisant, il nous a fallu aussi ajouter le param global "allow insecure wide links = yes".
En mettant l'un des 2 param à "no" les liens symboliques pointants en dehors d'un partage ne sont plus accessibles.

Il faudra peut-être ajouter le paramètre global
"allow insecure wide links = yes"
à la conf globale sauf que sur 2.8.1

# samba-tool testparm -v | grep 'allow insecure'
    allow insecure wide links = No

le paramètre est bien à No. Donc, ça fonctionnera.

#3 Mis à jour par Benjamin Bohard il y a presque 2 ans

Sur le conteneur addc, on a préparé le test :
  • mkdir /var/homes (sera le partage déclaré dans la configuration samba)
  • mkdir /var/shares (sera un répertoire hors partage samba auquel on tentera d’accéder via un lien symbolique)
  • touch /var/homes/test
  • déclaration basique du partage :
    [homes]$
            path = /var/homes$
            browseable = no$
            read only = no$
            inherit permissions = yes$
            inherit acls = yes$
            create mask = 0664$
            directory mask = 0775$
            csc policy = disable$
            hide files = /desktop.ini/config_eole/$
    

Les tests de connections sont effectués avec la commande smbclient -L \\\\localhost\\admin -U admin.

Les combinaisons d’options du fichiers /etc/samba/smb.conf testées :
  • wide links = yes uniquement dans le partage [homes] => non fonctionnel (la documentation laissait penser que tout était chargé automatiquement)
  • wide links = yes + vfs objects = vfs_widelinks dans le partage [homes] => erreur tree connect failed: NT_STATUS_BAD_NETWORK_NAME
  • wide links = yes + unix extensions = no dans la section [global] => accès au lien symbolique fonctionnel
  • wide links = yes dans le partage [homes] + unix extensions = no dans la section [global] => accès au lien symbolique fonctionnel

Dans la configuration du serveur de fichier (qui n’est toujours pas fonctionnel), on voit que l’option unix extensions est à non.
En définitive, ajouter l’option wide links = yes soit dans les partages, soit dans la section [global] devrait suffire pour permettre l’accès via des liens hors des partages.

#4 Mis à jour par Benjamin Bohard il y a presque 2 ans

  • Statut changé de À valider à Résolu

#5 Mis à jour par Emmanuel GARETTE il y a presque 2 ans

  • % réalisé changé de 0 à 100

#6 Mis à jour par Emmanuel GARETTE il y a presque 2 ans

Sur DC1 + DC2 + file avec test sur file :

Les combinaisons d’options du fichiers /etc/samba/smb.conf testées :
  • vfs objects = widelinks dans le partage => non fonctionnel
  • wide links = yes uniquement dans le partage => non fonctionnel
  • wide links = yes + vfs objects = widelinks dans le partage => non fonctionnel
  • wide links = yes + unix extensions = no (avec ou sans vfs objects = widelinks) dans la section [global] => accès au lien symbolique fonctionnel
  • wide links = yes dans le partage [homes] + unix extensions = no (avec ou sans vfs objects = widelinks) dans la section [global] => accès au lien symbolique fonctionnel

#7 Mis à jour par Gilles Grandgérard il y a presque 2 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) mis à 0.0

Formats disponibles : Atom PDF