Problème firmware 6.0-7321 et CalDAV

[Hurrican39]

Nous rencontrons un gros souci depuis la bascule cette nuit de nos NAS en DSM 6.0-7321.
Nous hébergeons une liste de calendriers sur 3 d'entre eux, et depuis ce matin, seul l'administrateur arrive à se connecter sur les calendriers depuis un poste client.
J'ai vérifié les permissions, elles sont toujours bien définies.
C'est une grosse galère, car personne n'a plus accès à son agenda, et les rendez-vous vont poser souci !

[pews]

En attendant de trouver une solution, l'admin peut peut être diffuser les plannings ?

[Hurrican39]

J'ai trouvé ce qui cloche !
WebDAV server est désormais un paquet.
Et du coup il y a une option à cocher pour autoriser l'accès à WebDAV server dans la fiche de l'utilisateur, onglet 'Applications'.
Je viens de modifier tous les utilisateurs sur les 3 NAS... Cà fait du monde !
Et on va devoir repasser sur chaque machine pour entrer à nouveau les mots de passe, car après une connexion infructueuse, les mots de passe enregistrés sont effacés de la base... 150 postes. Une bonne journée foutue en l'air !

Franchement, Synology aurait pu activer l'accès à WebDAV server pour les utilisateurs existants lors de la migration, ou le proposer... Ou au moins prévenir !

[PiwiLAbruti]

Synology a prévenu : https://www.synology.com/fr-fr/releaseNote/RS3614RPxs

Rien que la lecture du changelog m'a dissuadé d'installer cette mise à jour sur mon NAS perso. Ceux du taf vont au moins attendre la 6.1.

Maintenant, je trouve qu'il faut être très courageux pour mettre à jour des équipements en production avec un firmware fraîchement sorti et trop peu éprouvé, surtout avec 150 utilisateurs derrière.

il y a 41 minutes, Hurrican39 a dit :

[...] après une connexion infructueuse, les mots de passe enregistrés sont effacés de la base

Il va falloir revoir la politique interne de gestion des identifications.

[Hurrican39]

Je viens de relire le changelog, Je ne sais pas où tu vois que Synology a prévenu que les permissions d'accès aux calendriers ne seraient plus valables et qu'il faudrait les remettre en service.
Je l'avais lu en long et en large avant d'autoriser les mises à jour.
Et nous essayons d'avoir toujours le dernier DSM. Pour des raisons évidentes de sécurité.

Quant à la politique de gestion des identifications, on y peut pas grand chose. Lorsqu'on s'identifie en HTTPS, et qu'on stocke le mot de passe dans le client (Thunderbird en l'occurence), à la moindre erreur, l'enregistrement est viré de la BD du client. Je suppose que c'est par sécurité.

[Einsteinium]

il y a 1 minute, Hurrican39 a dit :

Et nous essayons d'avoir toujours le dernier DSM. Pour des raisons évidentes de sécurité.

Euh... Dernier dsm ou pas, Synology propose les fix de sécurités pour plusieurs versions de dsm...

cela ne sera pas ton seul problème à mon avis...

[PiwiLAbruti]

Citation

2. Service Modularization

• Some of the DSM built­-in features have been modularized into packages to ensure better system maintenance and update flexibility.
• Modularization in DSM 6.0 includes Storage Analyzer, Backup & Restore, PHP, Web Station and Text Editor, Log Center (with basic built­-in functions in DSM and extensive functions via package download), WebDAV and Snapshot Replication.

Ce qui veut dire que WebDAV n'est plus inclus dans DSM, tout comme CalDAV, ce qui représente un risque.

Il y a 1 heure, Hurrican39 a dit :

Et nous essayons d'avoir toujours le dernier DSM. Pour des raisons évidentes de sécurité.

Il n'y a aucune correction de CVE dans cette mise à jour. DSM 6.0 n'apporte que de nouvelles fonctionnalités.

Il y a 1 heure, Hurrican39 a dit :

Quant à la politique de gestion des identifications, on y peut pas grand chose. Lorsqu'on s'identifie en HTTPS, et qu'on stocke le mot de passe dans le client (Thunderbird en l'occurence), à la moindre erreur, l'enregistrement est viré de la BD du client. Je suppose que c'est par sécurité.

Je ne connaissais pas cette particularité de Thunderbird, c'est plus un vrai calvaire pour les admins que de la sécurité.

[Mic13710]

Il y a 2 heures, PiwiLAbruti a dit :

Maintenant, je trouve qu'il faut être très courageux pour mettre à jour des équipements en production avec un firmware fraîchement sorti et trop peu éprouvé, surtout avec 150 utilisateurs derrière.

Il va falloir revoir la politique interne de gestion des identifications.

+1 et perso, j’emploierais un autre terme. Quand on à la charge d'un réseau de 150 utilisateurs, on prend d'abord le temps de s'assurer qu'une nouvelle version est suffisamment stable pour être utilisée en prod, et on la met en place uniquement si les nouvelles fonctionnalités peuvent apporter un plus quantifiable pour les utilisateurs et/ou l'administrateur.

Je ne fais pas cette mise à jour sur mon nas personnel car d'expérience je sais que les nouvelles moutures présentent invariablement des défauts et que je ne souhaite pas essuyer les plâtres. A plus forte raison quand c'est un outil de travail en entreprise et surtout lorsque ça impacte autant d'utilisateurs.

Sur des NAS en prod, je recommanderais fortement de désactiver les mises à jours automatiques pour éviter de se retrouver dans une situation qui peut devenir ingérable.