iTalc Key SoftLink

german

#1

Hallo,

1.)

Es existiert am UCS4School Server standardmäßig ein Link auf der italc-key.pub:

root@ucs4school:/var/lib/samba/netlogon/italc# ls -l insgesamt 0 lrwxrwxrwx 1 root root 34 26. Jul 11:21 italc-key.pub -> /etc/italc/keys/public/teacher/key

Problem an der Sache ist, die Clients können dieses File nicht öffnen, da Samba schreit, dass dieser Link sich außerhalb der Freigabe befindet:

[2011/07/26 16:07:49.255789, 2] smbd/vfs.c:967(check_reduced_name) check_reduced_name: Bad access attempt: italc/italc-key.pub is a symlink outside the share path

Hab in der samba- Konfig nun im Global Bereich den Parameter “unix extensions = no” eingefügt sowie auf der netlogon Freigabe folgende 2 Einträge:

follow symlinks = yes wide links = yes

Die Frage ist nun, ob es sinnvoll ist, die “unix excentions” zu deaktivieren?? Warum muss man diese überhaupt deaktivieren (forums.whirlpool.net.au/archive/1403035)??

2.) Das netlogon Skript “ucs-school-italc.cmd” sollte ja bei der Anmeldung ausgeführt werden, um den Key am Client zu aktualisieren… Desweiteren gibt es im Netlogon Ordner ein weiteres Skript “univention-netlogon-proxy.vbs”, welches den Proxy einträgt, welches ausgeführt werden muss.

Wie wird es von euch vorgesehen, beide Skripte auszuführen? Eine 3te cmd erstellen und dort beide zum Aufruf bringen und dieses bei den Users eintragen??

danke!

lG


#2

Hallo,

  1. Zu diesem Verhalten gibt es einen Bericht unter folgendem Link:
    https://forge.univention.org/bugzilla/show_bug.cgi?id=20261

Als Workaround ist statt der Änderung der Samba Parameter eher zu empfehlen den Link zu entfernen und die Datei an dessen Stelle zu kopieren.

Die Aktivierung der unix extension kann ein potentielles Sicherheitsrisiko darstellen.

  1. Die Netlogon Skripte müssten von einem selbst zu Erstellenden Skript aufgerufen werden.

Mit freundlichen Grüßen
Tobias Scherer


#3

Andere Frage noch:

Gibts einen Grund, warum im iTalc Startskript

copy /Y "%LOGONSERVER%netlogonitalcitalc-key.pub" "C:\Programme\iTALC\keys\public\teacher\key"

verwendet wird und nicht xcopy, weil diese Datei ist am Client standardmäßig schreibgeschützt und copy kann diese nicht überschrieben, daher habe ich nun

xcopy /Y /R "%LOGONSERVER%netlogonitalcitalc-key.pub" "C:\Programme\iTALC\keys\public\teacher\key"

eingetragen…

xcopy existiert auch auf Win2000, daher seh ich keinen Grund, copy zu verwenden?!

lG


#4

Hallo,

ich habe dazu einen Wishlist Eintrag angelegt, den Sie unter folgendem Link einsehen können.
https://forge.univention.org/bugzilla/show_bug.cgi?id=23106

Mit freundlichen Grüßen
Tobias Scherer