<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Verdana; font-size: 10pt; color: #000000'>E ai meu rei !!<br><br>mesmo problema =\<br><br><span style="font-weight: bold;"># grp-diretoria, Grupos, cmc</span><br style="font-weight: bold;"><span style="font-weight: bold;">dn: cn=grp-diretoria,ou=Grupos,o=cmc</span><br style="font-weight: bold;"><span style="font-weight: bold;">objectClass: top</span><br style="font-weight: bold;"><span style="font-weight: bold;">objectClass: posixGroup</span><br style="font-weight: bold;"><span style="font-weight: bold;">objectClass: sambaGroupMapping</span><br style="font-weight: bold;"><span style="font-weight: bold;">cn: grp-diretoria</span><br style="font-weight: bold;"><span style="font-weight: bold;">gidNumber: 533</span><br style="font-weight: bold;"><span style="font-weight: bold;">sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067</span><br style="font-weight: bold;"><span style="font-weight: bold;">sambaGroupType: 2</span><br style="font-weight: bold;"><span style="font-weight: bold;">displayName: grp-diretoria</span><br style="font-weight: bold;"><span style="font-weight: bold;">memberUid: gabriel</span><br style="font-weight: bold;"><span style="font-weight: bold;">memberUid: cezar</span><br><br>os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.<br><br>pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.<br><br>Bom vai entender né.<br><br>Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D<br><br>att<br><br>Gabriel <br><br><br><hr id="zwchr"><div style="color: rgb(0, 0, 0); font-weight: normal; font-style: normal; text-decoration: none; font-family: Helvetica,Arial,sans-serif; font-size: 12pt;"><b>De: </b>"fabiano stocco" <fabianostocco@gmail.com><br><b>Para: </b>"Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org><br><b>Enviadas: </b>Sexta-feira, 13 de Janeiro de 2012 11:32:59<br><b>Assunto: </b>Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br><br>Opa..<br><br>Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo <b>
objectClass:</b> sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o <b>posixGroup.<br><br></b>Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.<br>
<br>#smbldap-groupadd -a grp-diretoria<br><br>Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.<br><br>Uso o samba 3.5.6-86.el6_1.4.x86_64<br><br>Atenciosamente.<br><br><div class="gmail_quote">
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca <span dir="ltr"><<a href="mailto:gabriel.franca@gmail.com" target="_blank">gabriel.franca@gmail.com</a>></span> escreveu:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div><div style="font-size: 10pt; font-family: Verdana;">galera vou postar aqui o meu smb.conf.<br><br>uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf<br><br>reparem que o que esta com ";" foi comentado direto pelo authconfig.<br>
<br><span style="font-weight: bold;">[global]</span><br style="font-weight: bold;"><span style="font-weight: bold;">#--authconfig--start-line--</span><br style="font-weight: bold;"><br style="font-weight: bold;"><span style="font-weight: bold;"># Generated by authconfig on 2012/01/12 15:45:28</span><br style="font-weight: bold;">
<span style="font-weight: bold;"># DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)</span><br style="font-weight: bold;"><span style="font-weight: bold;"># Any modification may be deleted or altered by authconfig in future</span><br style="font-weight: bold;">
<br style="font-weight: bold;"><span style="font-weight: bold;"> workgroup = CMC</span><br style="font-weight: bold;"><span style="font-weight: bold;"> security = ads</span><br style="font-weight: bold;"><span style="font-weight: bold;"> idmap uid = 16777216-33554431</span><br style="font-weight: bold;">
<span style="font-weight: bold;"> idmap gid = 16777216-33554431</span><br style="font-weight: bold;"><span style="font-weight: bold;"> template shell = /sbin/nologin</span><br style="font-weight: bold;"><span style="font-weight: bold;"> winbind use default domain = false</span><br style="font-weight: bold;">
<span style="font-weight: bold;"> winbind offline logon = false</span><br style="font-weight: bold;"><br style="font-weight: bold;"><span style="font-weight: bold;">#--authconfig--end-line--</span><br> #Dominio, Nome e Descricao<br>
; workgroup = CMC<br> netbios name = LX-CMC-SMB<br> server string = Servidor de Arquivos<br><br> #Nao mostrar no servidor o wizard "Adicionar Impressora"<br> show add printer wizard = No<br>
printing = cups<br> printcap name = cups<br> load printers = yes<br><br> #Quais interfaces de rede Utilizar<br> interfaces = lo, eth0<br> bind interfaces only = yes<br><br> #Configuracao wins<br>
wins support = yes<br># wins proxy = yes<br># wins server = yes<br><br> #Nivel de Mensagens<br> log level = 3<br> log file = /var/log/samba/log.%U<br> max log size = 50<br> debug level = 1<br>
syslog = 0<br> #Atuar como um Servidor de Dominio<br>; security = user<br>; domain logons = yes<br> preferred master = yes<br> os level = 90<br><br> #Atuar como um PDC - caso seja BDC altere para "no"<br>
; domain master = yes<br><br> #Tratamento das senhas<br> encrypt passwords = yes<br><br> #Equivalencia de usuarios Windows x Linux<br> username map = /etc/samba/smbusers<br><br> #Evitar o perfil ambulante do Windows NT/XP<br>
logon path =<br> logon drive =<br> logon home =<br><br> #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)<br> logon script = logon.bat<br><br> #Configuracoes para o LDAP<br>
passdb backend = ldapsam:ldap://<a href="http://127.0.0.1" target="_blank">127.0.0.1</a><br> ldap passwd sync = yes<br> ldap delete dn = yes<br> ldap ssl = no<br> ldap admin dn = cn=admin,o=cmc<br>
ldap suffix = o=cmc<br> ldap machine suffix = ou=Computadores<br> ldap user suffix = ou=Usuarios<br> ldap group suffix = ou=Grupos<br> ldap idmap suffix = ou=Idmap<br> # idmap backend = ldap:ldap://<a href="http://127.0.0.1" target="_blank">127.0.0.1</a><br>
# idmap uid = 10000-2000 # idmap gid = 10000-20000<br> idmap config * : backend = ldap<br> idmap config * : range = 10000-20000<br><br> #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba<br>
##enable privileges = yes<br><br> #Scripts utilizados para Gerenciar Usuarios da Microsoft<br> add user script = /usr/sbin/smbldap-useradd -m "%u"<br> delete user script = /usr/sbin/smbldap-userdel "%u"<br>
<br> #adicionar e remover Grupos<br> add group script = /usr/sbin/smbldap-groupadd -p "%g"<br> delete group script = /usr/sbin/smbldap-groupdel "%g"<br><br> #Scripts para adicionar e remover usuarios nos grupos<br>
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"<br> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"<br><br> #Script para definir o grupo primario do usuario<br>
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"<br><br> #Script para adicionar maquina Win NT e XP ingressar no dominio<br> add machine script = /usr/sbin/smbldap-useradd -w "%u"<br>
<br> #Otimizacoes recomendadas<br> smb ports = 445 139<br> name resolve order = lmhosts host wins bcast<br> utmp = yes<br> time server = yes<br>; template shell = /bin/false<br>; winbind use default domain = no<br>
map acl inherit = yes<br> strict locking = yes<br> ## store dos attributes = yes<br><br> #Como o cliente ira se comunicar com o servidor<br> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192<br>
<br> #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows<br> dos charset = CP850<br> unix charset = ISO8859-1<br><br> # nao tentar fazer um lock nestes arquivos<br> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br> # nao tentar fazer um lock nestes arquivos<br> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br><br> # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows<br> hidedotfiles = yes<br>
<br> #administradores do samba<br> admin users = suporte<br><br> #Auditoria de Arquivos<br> vfs objects = full_audit recycle<br> full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown<br>
full_audit:prefix = %u|%I|%S<br> full_audit:failure = none<br> full_audit:facility = local5<br> full_audit:priority = notice<br><br> #Lixeira individual<br> recycle:keeptree = yes<br>
recycle:versions = yes<br> recycle:repository = /dados/trash/%U<br> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso<br> recycle:exclude_dir = tmp, cache<br><br> #=============================<br>
#===== Compartilhamentos =====<br> #=============================<br><br><br>[netlogon]<br> comment = Servico de Logon em Rede [ logon.bat ]<br> path = /dados/scripts/<br> browseable = yes<br>
read only = yes<br>[home]<br> comment = Diretorio Pessoal de Cada Usuario<br> path = /dados/users/%u<br> browseable = no<br> writeable = yes<br> create mask = 0700<br> directory mask = 0700<br>
[dpto]<br> comment = Pasta Departamental<br> path = /dados/dpto<br> writeable = yes<br> force create mode = 0775<br> force directory mode = 0775<br><br>[share]<br> comment = Pasta Compartilhada<br>
path = /dados/share<br> writeable = yes<br> force create mode = 2777<br> force directory mode = 2777<br><br>[sistema]<br> comment = Sistemas [ G:\ ]<br> path = /dados/sistemas<br>
writeable = yes<br> force create mode = 2777<br> force directory mode = 2777<br><br>[lixeira]<br> path = /dados/lixeira/%U<br> writable = yes<br><br><hr><div style="font-size: 12pt; font-style: normal; font-family: Helvetica,Arial,sans-serif; text-decoration: none; font-weight: normal;">
<div class="im"><b>De: </b>"fabiano stocco" <<a href="mailto:fabianostocco@gmail.com" target="_blank">fabianostocco@gmail.com</a>><br><b>Para: </b>"Portuguese (Brazilian) CentOS mailing list" <<a href="mailto:centos-pt-br@centos.org" target="_blank">centos-pt-br@centos.org</a>><br>
<b>Enviadas: </b>Quinta-feira, 12 de Janeiro de 2012 19:09:28<br><b>Assunto: </b>Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br><br></div><div><div class="h5">Opá<br><br>Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.<br>
<br>Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.<br><br>[root@local ~]# getsebool -a | grep samba<br>samba_create_home_dirs --> off<br>samba_domain_controller --> off<br>samba_enable_home_dirs --> off<br>
samba_export_all_ro --> off<br>samba_export_all_rw --> off<br>samba_run_unconfined --> off<br>samba_share_fusefs --> off<br>samba_share_nfs --> off<br>use_samba_home_dirs --> off<br>virt_use_samba --> off<br>
<br>Comando para alterar a politica do selinux é o <br>[root@local ~]# setsebool -P samba_export_all_rw on<br><br>Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.<br>
<br>Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.<br>[root@local ~]# getfacl <b>diretoria </b><br><br>Fabiano Stocco<br><br><div class="gmail_quote">Em 12 de janeiro de 2012 16:43, Gabriel Franca <span dir="ltr"><<a href="mailto:gabriel.franca@gmail.com" target="_blank">gabriel.franca@gmail.com</a>></span> escreveu:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Boa Tarde a todos,<br> <br>
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.<br> <br>
segue alguns dados.<br> <br>
centos 6.2 (maquina de teste 32 bits)<br>
openldap 2.4.23-20.el6<br>
samba3-3.6.1-44.el6<br> <br>
bom vamos ao problema eu uso o samba autenticando no openldap e esta
funcionando di boa as estações estão entrando no dominio o problema que
está acontecendo agora e relacionado a direitos nas pastas.<br> <br>
EX: pasta diretoria<br> <br>
grupo ldap dono grp-diretoria<br>
direito na pasta 2770<br> <br>
coloco um usuario dentro do grupo atraves do ldap account manager do o
comando ldapsearch -x e olho q no grupo o usuario está lah dentro<br> <br> <b>grp-diretoria, Grupos, cmc<br>
dn: cn=grp-diretoria,ou=Grupos,o=cmc<br>
objectClass: top<br>
objectClass: posixGroup<br>
cn: grp-diretoria<br>
gidNumber: 533<br>
memberUid: gabriel</b><br> <br>
reparem os direitos da pasta <br> <br> <b>drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria<br> </b><br> <br>
e quando tento acessar tomo acesso negado na lata =\<br> <br>
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.<br> <br>
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.<br> <br>
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está
autenticando na base ldap pq ele me permite utilizar os grupos do ldap
no caso o "grp-diretoria".<br> <br>
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...<br> <br>
Abraços a todos e fico no aguardo de uma ajuda !!!
<br>_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
<br></blockquote></div><br>
<br>_______________________________________________<br>CentOS-pt-br mailing list<br><a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br><a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
</div></div></div><br></div></div><br>_______________________________________________<br>
CentOS-pt-br mailing list<br>
<a href="mailto:CentOS-pt-br@centos.org" target="_blank">CentOS-pt-br@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-pt-br" target="_blank">http://lists.centos.org/mailman/listinfo/centos-pt-br</a><br>
<br></blockquote></div><br>
<br>_______________________________________________<br>CentOS-pt-br mailing list<br>CentOS-pt-br@centos.org<br>http://lists.centos.org/mailman/listinfo/centos-pt-br<br></div><br></div></body></html>