Project

General

Profile

Tâche #34011

Scénario #33401: EOLE 2.9 : Gestion "wide links = yes" à vérifier

Vérification du "wide links = yes" en 2.9.0

Added by Laurent Gourvenec about 2 years ago. Updated about 2 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/28/2022
Due date:
% Done:

100%

Remaining (hours):
0.0

History

#1 Updated by Laurent Gourvenec about 2 years ago

  • Status changed from Nouveau to À valider

#2 Updated by Laurent Gourvenec about 2 years ago

Scribe 2.9.0 étant à moitié cassé pour le moment (l'ajout d'utilisateur ne fonctionne pas, winbindd ne trouve pas le nom de domaine "dompedago", etc...) nous avons testé dans le conteneur addc en modifiant la conf pour ajouter 2 partages.
Ajouter "wide links = yes" dans chaque section ou seulement dans la section global n'a pas été suffisant, il nous a fallu aussi ajouter le param global "allow insecure wide links = yes".
En mettant l'un des 2 param à "no" les liens symboliques pointants en dehors d'un partage ne sont plus accessibles.

Il faudra peut-être ajouter le paramètre global
"allow insecure wide links = yes"
à la conf globale sauf que sur 2.8.1

# samba-tool testparm -v | grep 'allow insecure'
    allow insecure wide links = No

le paramètre est bien à No. Donc, ça fonctionnera.

#3 Updated by Benjamin Bohard about 2 years ago

Sur le conteneur addc, on a préparé le test :
  • mkdir /var/homes (sera le partage déclaré dans la configuration samba)
  • mkdir /var/shares (sera un répertoire hors partage samba auquel on tentera d’accéder via un lien symbolique)
  • touch /var/homes/test
  • déclaration basique du partage :
    [homes]$
            path = /var/homes$
            browseable = no$
            read only = no$
            inherit permissions = yes$
            inherit acls = yes$
            create mask = 0664$
            directory mask = 0775$
            csc policy = disable$
            hide files = /desktop.ini/config_eole/$
    

Les tests de connections sont effectués avec la commande smbclient -L \\\\localhost\\admin -U admin.

Les combinaisons d’options du fichiers /etc/samba/smb.conf testées :
  • wide links = yes uniquement dans le partage [homes] => non fonctionnel (la documentation laissait penser que tout était chargé automatiquement)
  • wide links = yes + vfs objects = vfs_widelinks dans le partage [homes] => erreur tree connect failed: NT_STATUS_BAD_NETWORK_NAME
  • wide links = yes + unix extensions = no dans la section [global] => accès au lien symbolique fonctionnel
  • wide links = yes dans le partage [homes] + unix extensions = no dans la section [global] => accès au lien symbolique fonctionnel

Dans la configuration du serveur de fichier (qui n’est toujours pas fonctionnel), on voit que l’option unix extensions est à non.
En définitive, ajouter l’option wide links = yes soit dans les partages, soit dans la section [global] devrait suffire pour permettre l’accès via des liens hors des partages.

#4 Updated by Benjamin Bohard about 2 years ago

  • Status changed from À valider to Résolu

#5 Updated by Emmanuel GARETTE about 2 years ago

  • % Done changed from 0 to 100

#6 Updated by Emmanuel GARETTE about 2 years ago

Sur DC1 + DC2 + file avec test sur file :

Les combinaisons d’options du fichiers /etc/samba/smb.conf testées :
  • vfs objects = widelinks dans le partage => non fonctionnel
  • wide links = yes uniquement dans le partage => non fonctionnel
  • wide links = yes + vfs objects = widelinks dans le partage => non fonctionnel
  • wide links = yes + unix extensions = no (avec ou sans vfs objects = widelinks) dans la section [global] => accès au lien symbolique fonctionnel
  • wide links = yes dans le partage [homes] + unix extensions = no (avec ou sans vfs objects = widelinks) dans la section [global] => accès au lien symbolique fonctionnel

#7 Updated by Gilles Grandgérard about 2 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF