Samba4: Access Denied aber Top Level Directories sichtbar

[reibuehl]

Hallo,

ich habe auf meinem Debian Jessie System Samba 4 installiert und eine Freigabe für die gesamte Platte (/) angelegt:

Code: Alles auswählen

 [Platte]
   comment = Gesammte Platte
   path = /
   valid users = root, reiner
   force user = root
   read only = no
   public = yes

Die User root und reiner habe ich mit smbpasswd -a angelegt. Wenn ich mich nun von meinem Windows 7 System anmelde, funktioniert das auch und ich sehe alles unter /, sobald ich aber eine Ebene tiefer will, also z.B. nach /etc, erhalte ich in Windows einen Access Denied Fehler. Auf meinem Debian Wheezy läuft die gleiche Konfiguration einwandfrei. Was ist bei Samba 4 anders?

Gruß,
Reiner

[Christoph Franzen]

Weiß nicht, aber ich kann das gleiche Verhalten so erzeugen:

Geht:

Code: Alles auswählen

[root]
        comment = Alle Dateien
        path = /
        read only = No
        use sendfile = Yes
        browseable = Yes
        access based share enum = Yes

Geht nicht:

Code: Alles auswählen

[alles]
        comment = Alle Dateien ohne Symlinks
        path = /
        read only = No
        use sendfile = Yes
        browseable = Yes
        access based share enum = No
        follow symlinks = No
        inherit permissions = Yes
        inherit acls = Yes
        wide links = No
        ea support = Yes
        block size = 4096
        create mask = 07777
        directory mask = 07777

Code: Alles auswählen

follow symlinks = No

erzeugt das Problem unter:

Code: Alles auswählen

# smbd --version
Version 4.1.17-Debian

Womöglich ist das bei Dir global aktiv (weiß jetzt nicht auswendig, ob man das global setzen kann)? Darüber wundere ich mich schon lange, ich wollte das nämlich nutzen, um eine Spiegelung des Verzeichnisbaums zu bekommen, auf der meine Duplikatsuchprogramme zuverlässig keine „Scheinzwillinge“ finden und versehentlich löschen können.

[reibuehl]

Ich habe mal ein follow symlinks = yes in die Share-Definition eingefügt und Samba restarted, dass hat aber auch nichts geholfen. Die smb.conf ist bis auf die Share-Definition am Ende unverändert so wie sie vom dpkg-configure angelegt wurde.

[MegaV0lt]

Ging bei mir auch nicht. Hab nach langem hin und her einen Workaround gemacht und damit klappt der Zugriff. Der Post: http://j.mp/1Q4Je9F

[reibuehl]

Danke! Mit dem workaround klappt es. Ist mir nicht wirklich klar warum der notwendig ist, aber wenn es denn sein muss

[habakug]

Hallo!

Hier [1] der Bug dazu und hier [2] der Workaround.

The point is that the assumptions on which the original
checks are based are not true for the rootdir "/" case.
This is the case where the rootdir starts _and ends_ with
a slash. Hence a subdirectory does not continue with a
slash after the rootdir, since the candidate path has
been normalized.

Gruss, habakug

[1] https://bugzilla.samba.org/show_bug.cgi?id=11647
[2] https://bugzilla.samba.org/show_bug.cgi?id=11647#c7
[3] https://attachments.samba.org/attachment.cgi?id=11742

[reibuehl]

Fließt der Fix automatisch in die Debian Jessie Pakete ein oder muss man dafür einen eigenen Bug-Report gegen das Paket aufmachen?

[Christoph Franzen]

Hallo,

Fließt der Fix automatisch in die Debian Jessie Pakete ein oder muss man dafür einen eigenen Bug-Report gegen das Paket aufmachen?

Vorsichtshalber aufmachen; denn:

Pushed to autobuild-v4-[2|3]-test.

(https://bugzilla.samba.org/show_bug.cgi?id=11647#c8)
Das käme wohl automatisch nach Samba 4.2 und 4.3, in Jessie haben wird aber 4.1.

Leider ist auch recht unübersichtlich, in welchen Fällen der Fehler zuschlägt, je nach den gesetzten Optionen kann man nämlich „/“ ohne „rbind“ freigeben oder auch nicht. Andere Umgehungsversuche, beispielsweise „/.“ freigeben, damit es nicht mit „/“ beginnt und endet, funktionieren übrigens nicht, weil jene überflüssigen Zeichen offenbar vor der fehlschlagenden Prüfung entfernt werden.

Die einzige gute Lösung wäre daher, in Jessie auch die Version 4.1 zu korrigieren; auf Stretch zu warten, ist jedenfalls keine sinnvolle Alternative.

Siehe hier: http://bugs.debian.org/812429, da scheint sich bisher nicht viel zu tun.

[Christoph Franzen]

Ich habe mal versucht, das „anzuschieben“:

Siehe hier: http://bugs.debian.org/812429, da scheint sich bisher nicht viel zu tun.