Opa..<br><br>Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo <b>
objectClass:</b> sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o <b>posixGroup.<br><br></b>Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.<br>
<br>#smbldap-groupadd -a grp-diretoria<br><br>Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.<br><br>Uso o samba 3.5.6-86.el6_1.4.x86_64<br><br>Atenciosamente.<br><br><div class="gmail_quote">
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca <span dir="ltr"><<a href="mailto:gabriel.franca@gmail.com">gabriel.franca@gmail.com</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div><div style="font-size:10pt;font-family:Verdana">galera vou postar aqui o meu smb.conf.<br><br>uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf<br><br>reparem que o que esta com ";" foi comentado direto pelo authconfig.<br>
<br><span style="font-weight:bold">[global]</span><br style="font-weight:bold"><span style="font-weight:bold">#--authconfig--start-line--</span><br style="font-weight:bold"><br style="font-weight:bold"><span style="font-weight:bold"># Generated by authconfig on 2012/01/12 15:45:28</span><br style="font-weight:bold">
<span style="font-weight:bold"># DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)</span><br style="font-weight:bold"><span style="font-weight:bold"># Any modification may be deleted or altered by authconfig in future</span><br style="font-weight:bold">
<br style="font-weight:bold"><span style="font-weight:bold"> workgroup = CMC</span><br style="font-weight:bold"><span style="font-weight:bold"> security = ads</span><br style="font-weight:bold"><span style="font-weight:bold"> idmap uid = 16777216-33554431</span><br style="font-weight:bold">
<span style="font-weight:bold"> idmap gid = 16777216-33554431</span><br style="font-weight:bold"><span style="font-weight:bold"> template shell = /sbin/nologin</span><br style="font-weight:bold"><span style="font-weight:bold"> winbind use default domain = false</span><br style="font-weight:bold">
<span style="font-weight:bold"> winbind offline logon = false</span><br style="font-weight:bold"><br style="font-weight:bold"><span style="font-weight:bold">#--authconfig--end-line--</span><br> #Dominio, Nome e Descricao<br>
; workgroup = CMC<br> netbios name = LX-CMC-SMB<br> server string = Servidor de Arquivos<br><br> #Nao mostrar no servidor o wizard "Adicionar Impressora"<br> show add printer wizard = No<br>
printing = cups<br> printcap name = cups<br> load printers = yes<br><br> #Quais interfaces de rede Utilizar<br> interfaces = lo, eth0<br> bind interfaces only = yes<br><br> #Configuracao wins<br>
wins support = yes<br># wins proxy = yes<br># wins server = yes<br><br> #Nivel de Mensagens<br> log level = 3<br> log file = /var/log/samba/log.%U<br> max log size = 50<br> debug level = 1<br>
syslog = 0<br> #Atuar como um Servidor de Dominio<br>; security = user<br>; domain logons = yes<br> preferred master = yes<br> os level = 90<br><br> #Atuar como um PDC - caso seja BDC altere para "no"<br>
; domain master = yes<br><br> #Tratamento das senhas<br> encrypt passwords = yes<br><br> #Equivalencia de usuarios Windows x Linux<br> username map = /etc/samba/smbusers<br><br> #Evitar o perfil ambulante do Windows NT/XP<br>
logon path =<br> logon drive =<br> logon home =<br><br> #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)<br> logon script = logon.bat<br><br> #Configuracoes para o LDAP<br>
passdb backend = ldapsam:ldap://<a href="http://127.0.0.1" target="_blank">127.0.0.1</a><br> ldap passwd sync = yes<br> ldap delete dn = yes<br> ldap ssl = no<br> ldap admin dn = cn=admin,o=cmc<br>
ldap suffix = o=cmc<br> ldap machine suffix = ou=Computadores<br> ldap user suffix = ou=Usuarios<br> ldap group suffix = ou=Grupos<br> ldap idmap suffix = ou=Idmap<br> # idmap backend = ldap:ldap://<a href="http://127.0.0.1" target="_blank">127.0.0.1</a><br>
# idmap uid = 10000-2000 # idmap gid = 10000-20000<br> idmap config * : backend = ldap<br> idmap config * : range = 10000-20000<br><br> #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba<br>
##enable privileges = yes<br><br> #Scripts utilizados para Gerenciar Usuarios da Microsoft<br> add user script = /usr/sbin/smbldap-useradd -m "%u"<br> delete user script = /usr/sbin/smbldap-userdel "%u"<br>
<br> #adicionar e remover Grupos<br> add group script = /usr/sbin/smbldap-groupadd -p "%g"<br> delete group script = /usr/sbin/smbldap-groupdel "%g"<br><br> #Scripts para adicionar e remover usuarios nos grupos<br>
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"<br> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"<br><br> #Script para definir o grupo primario do usuario<br>
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"<br><br> #Script para adicionar maquina Win NT e XP ingressar no dominio<br> add machine script = /usr/sbin/smbldap-useradd -w "%u"<br>
<br> #Otimizacoes recomendadas<br> smb ports = 445 139<br> name resolve order = lmhosts host wins bcast<br> utmp = yes<br> time server = yes<br>; template shell = /bin/false<br>; winbind use default domain = no<br>
map acl inherit = yes<br> strict locking = yes<br> ## store dos attributes = yes<br><br> #Como o cliente ira se comunicar com o servidor<br> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192<br>
<br> #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows<br> dos charset = CP850<br> unix charset = ISO8859-1<br><br> # nao tentar fazer um lock nestes arquivos<br> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br> # nao tentar fazer um lock nestes arquivos<br> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br><br> # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows<br> hidedotfiles = yes<br>
<br> #administradores do samba<br> admin users = suporte<br><br> #Auditoria de Arquivos<br> vfs objects = full_audit recycle<br> full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown<br>
full_audit:prefix = %u|%I|%S<br> full_audit:failure = none<br> full_audit:facility = local5<br> full_audit:priority = notice<br><br> #Lixeira individual<br> recycle:keeptree = yes<br>
recycle:versions = yes<br> recycle:repository = /dados/trash/%U<br> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso<br> recycle:exclude_dir = tmp, cache<br><br> #=============================<br>
#===== Compartilhamentos =====<br> #=============================<br><br><br>[netlogon]<br> comment = Servico de Logon em Rede [ logon.bat ]<br> path = /dados/scripts/<br> browseable = yes<br>
read only = yes<br>[home]<br> comment = Diretorio Pessoal de Cada Usuario<br> path = /dados/users/%u<br> browseable = no<br> writeable = yes<br> create mask = 0700<br> directory mask = 0700<br>
[dpto]<br> comment = Pasta Departamental<br> path = /dados/dpto<br> writeable = yes<br> force create mode = 0775<br> force directory mode = 0775<br><br>[share]<br> comment = Pasta Compartilhada<br>
path = /dados/share<br> writeable = yes<br> force create mode = 2777<br> force directory mode = 2777<br><br>[sistema]<br> comment = Sistemas [ G:\ ]<br> path = /dados/sistemas<br>
writeable = yes<br> force create mode = 2777<br> force directory mode = 2777<br><br>[lixeira]<br> path = /dados/lixeira/%U<br> writable = yes<br><br><hr><div style="font-size:12pt;font-style:normal;font-family:Helvetica,Arial,sans-serif;text-decoration:none;font-weight:normal">
<div class="im"><b>De: </b>"fabiano stocco" <<a href="mailto:fabianostocco@gmail.com" target="_blank">fabianostocco@gmail.com</a>><br><b>Para: </b>"Portuguese (Brazilian) CentOS mailing list" <<a href="mailto:centos-pt-br@centos.org" target="_blank">centos-pt-br@centos.org</a>><br>
<b>Enviadas: </b>Quinta-feira, 12 de Janeiro de 2012 19:09:28<br><b>Assunto: </b>Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br><br></div><div><div class="h5">Opá<br><br>Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.<br>
<br>Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.<br><br>[root@local ~]# getsebool -a | grep samba<br>samba_create_home_dirs --> off<br>samba_domain_controller --> off<br>samba_enable_home_dirs --> off<br>
samba_export_all_ro --> off<br>samba_export_all_rw --> off<br>samba_run_unconfined --> off<br>samba_share_fusefs --> off<br>samba_share_nfs --> off<br>use_samba_home_dirs --> off<br>virt_use_samba --> off<br>
<br>Comando para alterar a politica do selinux é o <br>[root@local ~]# setsebool -P samba_export_all_rw on<br><br>Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.<br>
<br>Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.<br>[root@local ~]# getfacl <b>diretoria </b><br><br>Fabiano Stocco<br><br><div class="gmail_quote">Em 12 de janeiro de 2012 16:43, Gabriel Franca <span dir="ltr"><<a href="mailto:gabriel.franca@gmail.com" target="_blank">gabriel.franca@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Boa Tarde a todos,<br> <br>
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.<br> <br>
segue alguns dados.<br> <br>
centos 6.2 (maquina de teste 32 bits)<br>
openldap 2.4.23-20.el6<br>
samba3-3.6.1-44.el6<br> <br>
bom vamos ao problema eu uso o samba autenticando no openldap e esta
funcionando di boa as estações estão entrando no dominio o problema que
está acontecendo agora e relacionado a direitos nas pastas.<br> <br>
EX: pasta diretoria<br> <br>
grupo ldap dono grp-diretoria<br>
direito na pasta 2770<br> <br>
coloco um usuario dentro do grupo atraves do ldap account manager do o
comando ldapsearch -x e olho q no grupo o usuario está lah dentro<br> <br> <b>grp-diretoria, Grupos, cmc<br>
dn: cn=grp-diretoria,ou=Grupos,o=cmc<br>
objectClass: top<br>
objectClass: posixGroup<br>
cn: grp-diretoria<br>
gidNumber: 533<br>
memberUid: gabriel</b><br> <br>
reparem os direitos da pasta <br> <br> <b>drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria<br> </b><br> <br>
e quando tento acessar tomo acesso negado na lata =\<br> <br>
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.<br> <br>
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.<br> <br>
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está
autenticando na base ldap pq ele me permite utilizar os grupos do ldap
no caso o "grp-diretoria".<br> <br>
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...<br> <br>
Abraços a todos e fico no aguardo de uma ajuda !!!
<br>_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
<br></blockquote></div><br>
<br>_______________________________________________<br>CentOS-pt-br mailing list<br><a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br><a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
</div></div></div><br></div></div><br>_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org">CentOS-pt-br@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
<br></blockquote></div><br>