Je vis en Italie et mon fournisseur d'accès à Internet est TIM. J'ai le routeur "TIM HUB" comme routeur, qui est un produit de marque de Technicolor (nom du produit : AGHP, version du logiciel : AGTHP_1.0.5). J'ai branché un disque dur externe sur un port USB du routeur. Je suppose que la ressource est partagée via Samba Filesharing (mais je ne suis pas un expert). Quoi qu'il en soit, je peux accéder au disque dur, je vois les fichiers, je peux en créer, en modifier et en supprimer beaucoup, mais parfois je ne peux pas supprimer le fichier et je reçois une erreur de permission. Si je regarde les autorisations dans Windows, je vois qu'il y a deux utilisateurs nommés "S-1-22-1-0" et "S-1-22-2-0" avec un contrôle total, et mon utilisateur n'a pas un contrôle total. Je ne peux pas changer cette autorisation et si j'essaie, j'obtiens une erreur "échec de l'énumération des objets dans le conteneur. L'accès est refusé". Que dois-je faire?
Réponse
Trop de publicités?
Une explication pour ces SIDs se trouve dans les notes Samba 3 User and Group Changes :
Les utilisateurs non mappés se voient désormais attribuer un SID dans le domaine S-1-22-1 et les groupes non mappés se voient attribuer un SID dans le domaine S-1-22-2.
Le problème que vous rencontrez est ensuite expliqué :
Un exemple aide à illustrer le changement :
Supposons qu'un groupe nommé développeurs existe avec un GID UNIX de 782. Dans ce cas, ce groupe n'existe pas dans la table de mappage des groupes de Samba. Il serait parfaitement normal que ce groupe apparaisse dans un éditeur ACL. Avant Samba-3.0.23, le SID du groupe pourrait apparaître comme
S-1-5-21-647511796-4126122067-3123570092-2565.Avec la sortie de Samba-3.0.23, le SID du groupe serait rapporté comme
S-1-22-2-782. Tous les descripteurs de sécurité associés aux fichiers stockés sur une partition de disque NTFS Windows n'autoriseront pas l'accès basé sur les autorisations du groupe si l'utilisateur n'était pas membre du groupeS-1-5-21-647511796-4126122067-3123570092-2565. Parce que ce SID de groupe estS-1-22-2-782et n'est pas rapporté dans le jeton d'un utilisateur,
Windows échouerait à la vérification d'autorisation même si les deux SIDs se réfèrent en quelque sorte au même groupe UNIX.
La solution proposée est la suivante :
La solution de contournement pour les versions de Samba antérieures à 3.0.23 consiste à créer une entrée de mappage de groupe de domaine manuelle pour le groupe des développeurs afin de pointer vers le SID
S-1-5-21-647511796-4126122067-3123570092-2565.
Avec la sortie de Samba-3.0.23, cette solution de contournement n'est plus nécessaire.
Par conséquent, vos choix, tels que je les vois, sont :
- Obtenir un accès SSH au routeur et modifier les tables Samba afin de donner les autorisations nécessaires à "everyone" pour les SIDs de
S-1-22. Cela nécessitera une bonne connaissance des versions Linux et Samba du routeur, et une erreur est certainement possible. - Prenez contact avec le support de votre fournisseur de services Internet. Ils pourraient vous aider à apporter ces changements, ou pourraient avoir une mise à jour du firmware pour mettre à niveau Samba vers une version supérieure à 3.0.23, où le problème est censé ne plus exister. La version Samba 4.x devrait même être meilleure.
