Anomalie #6590
les ACL ne s'appliquent pas correctement lors de la création d'un nouveau fichier malgré le default:mask à rwx
Description
Sur un Horus 2.3.9 virtualisé (esxi 5.1), les ACL ne s'appliquent pas correctement lors de la création d'un nouveau fichier malgré le default:mask à rwx.
Voici ce qui a été réalisé :
- installation à partir de l'iso 2.3.9,
- gen_config + instance + maj + reboot,
- en console (root) : création d'un dossier /data/minedu/test
- intégration poste Windows 7 au domaine et reboot,
- via l'EAD2 (admin) : création utilisateur "int" et groupe "test"
- via l'EAD2 (admin) : "int" membre des groupes "minedu" et "test"
- via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
- ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
- les ACL sur le dossier "/data/minedu/test" sont correctes (groupe:test:rwx, default:mask:rwx)
- les ACL sur le fichier créé "toto.txt" sont default:mask:r--, groupe:test:rwx effective r-
- c'est la même chose si un partage "test2" est créé.
Avec cette même démarche le problème est identique avec la version 2.3.11 (Maj-Auto -i -C avant de faire le "gen_config").
Demandes liées
Révisions associées
Support des attributs DOS uniquement prou profiles itinérants
fixes #6590 @1h
Historique
#1 Mis à jour par Nicolas Lesaint il y a plus de 10 ans
Le problème est identique si l'on fait une installation avec une 2.3.7 + Maj-Auto -i -C avant instance.
Le problème ne se produit pas si l'on fait une installation en 2.3.7 + instance sans MAJ.
#2 Mis à jour par Joël Cuissinat il y a plus de 10 ans
- Statut changé de Nouveau à A étudier
- Version cible mis à Mises à jour 2.3.11
#3 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Echéance mis à 29/11/2013
- Version cible
Mises à jour 2.3.11supprimé
Tests sur un Horus déjà configuré en 2.3.10 puis mis à jour en 2.3.11RC :
root@horus:/home/workgroups# getfacl /data/minedu/test/ getfacl : suppression du premier « / » des noms de chemins absolus # file: data/minedu/test/ # owner: root # group: root user::rwx group::rwx group:minedu:rwx group:test:rwx mask::rwx other::--- default:user::rwx default:group::rwx default:group:minedu:rwx default:group:test:rwx default:mask::rwx default:other::--- root@horus:/home/workgroups# getfacl /data/minedu/test/toto.txt getfacl : suppression du premier « / » des noms de chemins absolus # file: data/minedu/test/toto.txt # owner: user1 # group: DomainUsers user::rw- group::rwx group:minedu:rwx group:test:rwx mask::rwx other::--- root@horus:/home/workgroups# getfacl test2 # file: test2 # owner: root # group: root user::rwx group::--- group:test2:rwx mask::rwx other::--- default:user::rwx default:group::--- default:group:test2:rwx default:mask::rwx default:other::--- root@horus:/home/workgroups# getfacl test2/fsdgsg.txt # file: test2/fsdgsg.txt # owner: user1 # group: DomainUsers user::rw- group::--- group:test2:rwx mask::rwx other::---
Ça me semble correct.
Que se passe-t-il quand on fait Maj-Auto -i -C avant instance ?
À tester ...
#4 Mis à jour par Nicolas Lesaint il y a plus de 10 ans
- Fichier Horus2.3 - Pb droits.pdf ajouté
J'ai fait le tour des Horus 2.3 de notre académie (ceux enregistrés dans Zephir) pour recenser les établissements où le problème des droits était présent.
Pour contourner le problème j'ai créé un script qui ré-applique les droits toutes les 5 minutes.
Le fichier joint permet de faire le point sur ce qui a été réalisé :
en bleu : les établissements qui nous ont signalés un problème via Ecare,
en orange : les établissements qui n'ont pas signalés ce problème alors qu'il était présent,
en vert : les établissements qui ne rencontrent pas ce problème,
en noir : les établissements non traités,la colonne "Date install." correspond à la date d'installation indiquée par Zephir,
la colonne "Iso" indique si l'installation à eu lieu après la publication de l'image Iso Eole2.3.9 du 17/05/2013.A la vue de ces résultats, il semble que le problème est présent depuis la version 2.3.9 même si certains établissements installés après cette date de publication ne rencontrent pas le problème (on ne peut pas savoir qu'elle image a réellement été utilisée lors de l'installation).
Les établissements installés avant la date de publication de la 2.3.9 ne semblent pas concernés par ce problème.
Y a t'il moyen de tester l'image iso 2.3.11 avant sa diffusion ?
Si vous voulez reproduire le problème il faudrait installer un nouveau serveur Horus à partir de l'iso 2.3.9.
#5 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
Un lien vers une image iso candidate est indiqué dans l'annonce de publication :
http://dev-eole.ac-dijon.fr/news/184
#6 Mis à jour par Nicolas Lesaint il y a plus de 10 ans
Le problème est reproduit avec l'iso candidate 2.3.11
#7 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
Tentative de reproduction du problème :
- installation à partir de l'iso 2.3.9,
- gen_config + instance,
- en console (root) : création d'un dossier /data/minedu/test
- intégration poste Windows XP au domaine et reboot,
- via l'EAD2 (admin) : création utilisateur "int" et groupe "test"
- via l'EAD2 (admin) : "int" membre des groupes "minedu" et "test"
- via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
- ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
- les ACL sont correctes
Suite du test : - Maj + reconfigure
- Suppression du répertoire test
- en console (root) : création d'un dossier /data/minedu/test
- via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
- ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
- les ACL sont correctes
Il va falloir que j'installe un Windows 7 et refaire les tests
#8 Mis à jour par Nicolas Lesaint il y a plus de 10 ans
Le problème apparait lorsque l'option "smb_dos_attribute" est activée dans le gen_config
#9 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Statut changé de A étudier à Accepté
- Assigné à mis à Fabrice Barconnière
- Version cible mis à Mises à jour 2.3.11
Le problème apparaît effectivement lorsque smb_dos_attribute est activé (store dos attributes = yes dans smb.conf) mais à partir de la version Samba 3.5.8 (passé avec la version EOLE 2.3.9 de v3.5.6 à v3.5.8).
Cette option n'a pas vraiment d'intérêt sur un partage. Elle est plutôt destinée conserver les attributs DOS des fichiers d'un compte avec profil itinérant (#490).
Il faudrait donc passer cette option à no dans la section [global] et déplacer la partie créolisée dans la section [perso] ou [home] (où sont stokés les profils) sans oublier les lignes map archive, map hidden, map readonly et map system = yes si smb_dos_attribute = yes
Voir avec Klaas
#10 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Projet changé de Horus à conf-scribe
#11 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Statut changé de Accepté à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 0c6b6847a0e88871c4c382335208f4e5975ac909.
#12 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
conf-scribe-2.3-eole321~5.gbpef01bc
Modifications disponible dans eole-fichier version 2.3-eole321~5.gbpef01bc
#13 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Statut changé de Résolu à Fermé