Project

General

Profile

Anomalie #6590

les ACL ne s'appliquent pas correctement lors de la création d'un nouveau fichier malgré le default:mask à rwx

Added by Nicolas Lesaint over 7 years ago. Updated over 7 years ago.

Status:
Fermé
Priority:
Haut
Category:
-
Start date:
Due date:
11/29/2013
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

Sur un Horus 2.3.9 virtualisé (esxi 5.1), les ACL ne s'appliquent pas correctement lors de la création d'un nouveau fichier malgré le default:mask à rwx.

Voici ce qui a été réalisé :

  • installation à partir de l'iso 2.3.9,
  • gen_config + instance + maj + reboot,
  • en console (root) : création d'un dossier /data/minedu/test
  • intégration poste Windows 7 au domaine et reboot,
  • via l'EAD2 (admin) : création utilisateur "int" et groupe "test"
  • via l'EAD2 (admin) : "int" membre des groupes "minedu" et "test"
  • via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
  • ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
  • les ACL sur le dossier "/data/minedu/test" sont correctes (groupe:test:rwx, default:mask:rwx)
  • les ACL sur le fichier créé "toto.txt" sont default:mask:r--, groupe:test:rwx effective r-
  • c'est la même chose si un partage "test2" est créé.

Avec cette même démarche le problème est identique avec la version 2.3.11 (Maj-Auto -i -C avant de faire le "gen_config").

pb_ACL.png View (33.8 KB) Nicolas Lesaint, 11/13/2013 03:25 PM

Horus2.3 - Pb droits.pdf (39.1 KB) Nicolas Lesaint, 11/22/2013 03:59 PM


Related issues

Related to conf-horus - Evolution #490: Permettre le stockage des attributs DOS Fermé 04/27/2010
Related to eole-scribehorus - Evolution #7576: Modifications 2.3 non reportées en 2.4 Fermé 03/27/2014 04/04/2014

Associated revisions

Revision 0c6b6847 (diff)
Added by Fabrice Barconnière over 7 years ago

Support des attributs DOS uniquement prou profiles itinérants
fixes #6590 @1h

History

#1 Updated by Nicolas Lesaint over 7 years ago

Le problème est identique si l'on fait une installation avec une 2.3.7 + Maj-Auto -i -C avant instance.

Le problème ne se produit pas si l'on fait une installation en 2.3.7 + instance sans MAJ.

#2 Updated by Joël Cuissinat over 7 years ago

  • Status changed from Nouveau to A étudier
  • Target version set to Mises à jour 2.3.11

#3 Updated by Fabrice Barconnière over 7 years ago

  • Due date set to 11/29/2013
  • Target version deleted (Mises à jour 2.3.11)

Tests sur un Horus déjà configuré en 2.3.10 puis mis à jour en 2.3.11RC :

root@horus:/home/workgroups# getfacl /data/minedu/test/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: data/minedu/test/
# owner: root
# group: root
user::rwx
group::rwx
group:minedu:rwx
group:test:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:minedu:rwx
default:group:test:rwx
default:mask::rwx
default:other::---

root@horus:/home/workgroups# getfacl /data/minedu/test/toto.txt 
getfacl : suppression du premier « / » des noms de chemins absolus
# file: data/minedu/test/toto.txt
# owner: user1
# group: DomainUsers
user::rw-
group::rwx
group:minedu:rwx
group:test:rwx
mask::rwx
other::---

root@horus:/home/workgroups# getfacl test2
# file: test2
# owner: root
# group: root
user::rwx
group::---
group:test2:rwx
mask::rwx
other::---
default:user::rwx
default:group::---
default:group:test2:rwx
default:mask::rwx
default:other::---

root@horus:/home/workgroups# getfacl test2/fsdgsg.txt 
# file: test2/fsdgsg.txt
# owner: user1
# group: DomainUsers
user::rw-
group::---
group:test2:rwx
mask::rwx
other::---

Ça me semble correct.

Que se passe-t-il quand on fait Maj-Auto -i -C avant instance ?
À tester ...

#4 Updated by Nicolas Lesaint over 7 years ago

J'ai fait le tour des Horus 2.3 de notre académie (ceux enregistrés dans Zephir) pour recenser les établissements où le problème des droits était présent.

Pour contourner le problème j'ai créé un script qui ré-applique les droits toutes les 5 minutes.

Le fichier joint permet de faire le point sur ce qui a été réalisé :

en bleu : les établissements qui nous ont signalés un problème via Ecare,
en orange : les établissements qui n'ont pas signalés ce problème alors qu'il était présent,
en vert : les établissements qui ne rencontrent pas ce problème,
en noir : les établissements non traités,
la colonne "Date install." correspond à la date d'installation indiquée par Zephir,
la colonne "Iso" indique si l'installation à eu lieu après la publication de l'image Iso Eole2.3.9 du 17/05/2013.

A la vue de ces résultats, il semble que le problème est présent depuis la version 2.3.9 même si certains établissements installés après cette date de publication ne rencontrent pas le problème (on ne peut pas savoir qu'elle image a réellement été utilisée lors de l'installation).

Les établissements installés avant la date de publication de la 2.3.9 ne semblent pas concernés par ce problème.

Y a t'il moyen de tester l'image iso 2.3.11 avant sa diffusion ?

Si vous voulez reproduire le problème il faudrait installer un nouveau serveur Horus à partir de l'iso 2.3.9.

#5 Updated by Fabrice Barconnière over 7 years ago

Un lien vers une image iso candidate est indiqué dans l'annonce de publication :
http://dev-eole.ac-dijon.fr/news/184

#6 Updated by Nicolas Lesaint over 7 years ago

Le problème est reproduit avec l'iso candidate 2.3.11

#7 Updated by Fabrice Barconnière over 7 years ago

Tentative de reproduction du problème :

  • installation à partir de l'iso 2.3.9,
  • gen_config + instance,
  • en console (root) : création d'un dossier /data/minedu/test
  • intégration poste Windows XP au domaine et reboot,
  • via l'EAD2 (admin) : création utilisateur "int" et groupe "test"
  • via l'EAD2 (admin) : "int" membre des groupes "minedu" et "test"
  • via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
  • ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
  • les ACL sont correctes
    Suite du test :
  • Maj + reconfigure
  • Suppression du répertoire test
  • en console (root) : création d'un dossier /data/minedu/test
  • via l'EAD2 (admin) : ajout des ACL rwx sur le dossier "test" pour le groupe "test"
  • ouverture de session windows en "int" et création d'un fichier "toto.txt" dans le dossier "/data/minedu/test"
  • les ACL sont correctes

Il va falloir que j'installe un Windows 7 et refaire les tests

#8 Updated by Nicolas Lesaint over 7 years ago

Le problème apparait lorsque l'option "smb_dos_attribute" est activée dans le gen_config

#9 Updated by Fabrice Barconnière over 7 years ago

  • Status changed from A étudier to Accepté
  • Assigned To set to Fabrice Barconnière
  • Target version set to Mises à jour 2.3.11

Le problème apparaît effectivement lorsque smb_dos_attribute est activé (store dos attributes = yes dans smb.conf) mais à partir de la version Samba 3.5.8 (passé avec la version EOLE 2.3.9 de v3.5.6 à v3.5.8).
Cette option n'a pas vraiment d'intérêt sur un partage. Elle est plutôt destinée conserver les attributs DOS des fichiers d'un compte avec profil itinérant (#490).
Il faudrait donc passer cette option à no dans la section [global] et déplacer la partie créolisée dans la section [perso] ou [home] (où sont stokés les profils) sans oublier les lignes map archive, map hidden, map readonly et map system = yes si smb_dos_attribute = yes

Voir avec Klaas

#10 Updated by Fabrice Barconnière over 7 years ago

  • Project changed from Horus to conf-scribe

#11 Updated by Fabrice Barconnière over 7 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#12 Updated by Fabrice Barconnière over 7 years ago

conf-scribe-2.3-eole321~5.gbpef01bc
Modifications disponible dans eole-fichier version 2.3-eole321~5.gbpef01bc

#13 Updated by Fabrice Barconnière over 7 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF