<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Verdana; font-size: 10pt; color: #000000'>Grande Fabiano,<br><br>Então sobre a criação do usuario com o smbldap-useradd eu uso sim o -a.<br><br>E sobre o gid não existe nenhum outro grupo com o 533.<br><br>Dando mais um kdim de informação:<br><br>eu criei um usuario no caso rafael, coloquei ele em alguns grupos no caso rh e financeiro.<br><br>quando loguei ele teve acesso certinho as pastas que tinha direito e foi negado pra ele as pastas q ele não tem acesso (maravilha !!!).<br><br>agora quando altero ele de grupo os direitos novos não são passados e o direito antigo persiste =\ (sera que o centos guarda algum tipo de cache maldito e fica usando ele ? ou será q ele guarda um cache e de tempo em tempo ele faz uma nova consulta ao ldap ? )<br><br>Atenciosamente,<br><br>Gabriel <br><br><hr id="zwchr"><div style="color: rgb(0, 0, 0); font-weight: normal; font-style: normal; text-decoration: none; font-family: Helvetica,Arial,sans-serif; font-size: 12pt;"><b>De: </b>"fabiano stocco" <fabianostocco@gmail.com><br><b>Para: </b>"Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org><br><b>Enviadas: </b>Sexta-feira, 13 de Janeiro de 2012 14:50:48<br><b>Assunto: </b>Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br><br>Vamos tentar mais uma coisa antes do acesso.<br>Quando adicionou o usuário ao ldap, usou os atributos do samba na<br>adição? Consulte por favor os atributos do usuário gabriel por<br>exemplo.<br><br>#smbldap-useradd -a gabriel<br><br>Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito<br>baixo. Consulta por favor o /etc/group se não existe outro grupo com<br>esse id.<br><br>Se continuar a não dar certo vamos a conexão remota.<br><br>Abraço<br><br>Fabiano Stocco<br><br><br><br>Em 13 de janeiro de 2012 13:12, Gabriel O. Franca<br><gabriel.franca@gmail.com> escreveu:<br>><br>> E ai meu rei !!<br>><br>> mesmo problema =\<br>><br>> # grp-diretoria, Grupos, cmc<br>><br>> dn: cn=grp-diretoria,ou=Grupos,o=cmc<br>> objectClass: top<br>> objectClass: posixGroup<br>> objectClass: sambaGroupMapping<br>> cn: grp-diretoria<br>> gidNumber: 533<br>> sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067<br>> sambaGroupType: 2<br>> displayName: grp-diretoria<br>> memberUid: gabriel<br>> memberUid: cezar<br>><br>> os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.<br>><br>> pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.<br>><br>> Bom vai entender né.<br>><br>> Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D<br>><br>> att<br>><br>> Gabriel<br>><br>><br>> ________________________________<br>> De: "fabiano stocco" <fabianostocco@gmail.com><br>> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org><br>> Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59<br>><br>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br>><br>> Opa..<br>><br>> Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.<br>><br>> Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.<br>><br>> #smbldap-groupadd -a grp-diretoria<br>><br>> Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.<br>><br>> Uso o samba 3.5.6-86.el6_1.4.x86_64<br>><br>> Atenciosamente.<br>><br>> Em 13 de janeiro de 2012 10:40, Gabriel O. Franca <gabriel.franca@gmail.com> escreveu:<br>>><br>>> galera vou postar aqui o meu smb.conf.<br>>><br>>> uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf<br>>><br>>> reparem que o que esta com ";" foi comentado direto pelo authconfig.<br>>><br>>> [global]<br>>> #--authconfig--start-line--<br>>><br>>> # Generated by authconfig on 2012/01/12 15:45:28<br>>> # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)<br>>> # Any modification may be deleted or altered by authconfig in future<br>>><br>>> workgroup = CMC<br>>> security = ads<br>>> idmap uid = 16777216-33554431<br>>> idmap gid = 16777216-33554431<br>>> template shell = /sbin/nologin<br>>> winbind use default domain = false<br>>> winbind offline logon = false<br>>><br>>> #--authconfig--end-line--<br>>> #Dominio, Nome e Descricao<br>>> ; workgroup = CMC<br>>> netbios name = LX-CMC-SMB<br>>> server string = Servidor de Arquivos<br>>><br>>> #Nao mostrar no servidor o wizard "Adicionar Impressora"<br>>> show add printer wizard = No<br>>> printing = cups<br>>> printcap name = cups<br>>> load printers = yes<br>>><br>>> #Quais interfaces de rede Utilizar<br>>> interfaces = lo, eth0<br>>> bind interfaces only = yes<br>>><br>>> #Configuracao wins<br>>> wins support = yes<br>>> # wins proxy = yes<br>>> # wins server = yes<br>>><br>>> #Nivel de Mensagens<br>>> log level = 3<br>>> log file = /var/log/samba/log.%U<br>>> max log size = 50<br>>> debug level = 1<br>>> syslog = 0<br>>> #Atuar como um Servidor de Dominio<br>>> ; security = user<br>>> ; domain logons = yes<br>>> preferred master = yes<br>>> os level = 90<br>>><br>>> #Atuar como um PDC - caso seja BDC altere para "no"<br>>> ; domain master = yes<br>>><br>>> #Tratamento das senhas<br>>> encrypt passwords = yes<br>>><br>>> #Equivalencia de usuarios Windows x Linux<br>>> username map = /etc/samba/smbusers<br>>><br>>> #Evitar o perfil ambulante do Windows NT/XP<br>>> logon path =<br>>> logon drive =<br>>> logon home =<br>>><br>>> #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)<br>>> logon script = logon.bat<br>>><br>>> #Configuracoes para o LDAP<br>>> passdb backend = ldapsam:ldap://127.0.0.1<br>>> ldap passwd sync = yes<br>>> ldap delete dn = yes<br>>> ldap ssl = no<br>>> ldap admin dn = cn=admin,o=cmc<br>>> ldap suffix = o=cmc<br>>> ldap machine suffix = ou=Computadores<br>>> ldap user suffix = ou=Usuarios<br>>> ldap group suffix = ou=Grupos<br>>> ldap idmap suffix = ou=Idmap<br>>> # idmap backend = ldap:ldap://127.0.0.1<br>>> # idmap uid = 10000-2000 # idmap gid = 10000-20000<br>>> idmap config * : backend = ldap<br>>> idmap config * : range = 10000-20000<br>>><br>>> #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba<br>>> ##enable privileges = yes<br>>><br>>> #Scripts utilizados para Gerenciar Usuarios da Microsoft<br>>> add user script = /usr/sbin/smbldap-useradd -m "%u"<br>>> delete user script = /usr/sbin/smbldap-userdel "%u"<br>>><br>>> #adicionar e remover Grupos<br>>> add group script = /usr/sbin/smbldap-groupadd -p "%g"<br>>> delete group script = /usr/sbin/smbldap-groupdel "%g"<br>>><br>>> #Scripts para adicionar e remover usuarios nos grupos<br>>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"<br>>> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"<br>>><br>>> #Script para definir o grupo primario do usuario<br>>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"<br>>><br>>> #Script para adicionar maquina Win NT e XP ingressar no dominio<br>>> add machine script = /usr/sbin/smbldap-useradd -w "%u"<br>>><br>>> #Otimizacoes recomendadas<br>>> smb ports = 445 139<br>>> name resolve order = lmhosts host wins bcast<br>>> utmp = yes<br>>> time server = yes<br>>> ; template shell = /bin/false<br>>> ; winbind use default domain = no<br>>> map acl inherit = yes<br>>> strict locking = yes<br>>> ## store dos attributes = yes<br>>><br>>> #Como o cliente ira se comunicar com o servidor<br>>> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192<br>>><br>>> #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows<br>>> dos charset = CP850<br>>> unix charset = ISO8859-1<br>>><br>>> # nao tentar fazer um lock nestes arquivos<br>>> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>>> veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br>>> # nao tentar fazer um lock nestes arquivos<br>>> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/<br>>> veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/<br>>><br>>> # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows<br>>> hidedotfiles = yes<br>>><br>>> #administradores do samba<br>>> admin users = suporte<br>>><br>>> #Auditoria de Arquivos<br>>> vfs objects = full_audit recycle<br>>> full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown<br>>> full_audit:prefix = %u|%I|%S<br>>> full_audit:failure = none<br>>> full_audit:facility = local5<br>>> full_audit:priority = notice<br>>><br>>> #Lixeira individual<br>>> recycle:keeptree = yes<br>>> recycle:versions = yes<br>>> recycle:repository = /dados/trash/%U<br>>> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso<br>>> recycle:exclude_dir = tmp, cache<br>>><br>>> #=============================<br>>> #===== Compartilhamentos =====<br>>> #=============================<br>>><br>>><br>>> [netlogon]<br>>> comment = Servico de Logon em Rede [ logon.bat ]<br>>> path = /dados/scripts/<br>>> browseable = yes<br>>> read only = yes<br>>> [home]<br>>> comment = Diretorio Pessoal de Cada Usuario<br>>> path = /dados/users/%u<br>>> browseable = no<br>>> writeable = yes<br>>> create mask = 0700<br>>> directory mask = 0700<br>>> [dpto]<br>>> comment = Pasta Departamental<br>>> path = /dados/dpto<br>>> writeable = yes<br>>> force create mode = 0775<br>>> force directory mode = 0775<br>>><br>>> [share]<br>>> comment = Pasta Compartilhada<br>>> path = /dados/share<br>>> writeable = yes<br>>> force create mode = 2777<br>>> force directory mode = 2777<br>>><br>>> [sistema]<br>>> comment = Sistemas [ G:\ ]<br>>> path = /dados/sistemas<br>>> writeable = yes<br>>> force create mode = 2777<br>>> force directory mode = 2777<br>>><br>>> [lixeira]<br>>> path = /dados/lixeira/%U<br>>> writable = yes<br>>><br>>> ________________________________<br>>> De: "fabiano stocco" <fabianostocco@gmail.com><br>>> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org><br>>> Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28<br>>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas<br>>><br>>> Opá<br>>><br>>> Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.<br>>><br>>> Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.<br>>><br>>> [root@local ~]# getsebool -a | grep samba<br>>> samba_create_home_dirs --> off<br>>> samba_domain_controller --> off<br>>> samba_enable_home_dirs --> off<br>>> samba_export_all_ro --> off<br>>> samba_export_all_rw --> off<br>>> samba_run_unconfined --> off<br>>> samba_share_fusefs --> off<br>>> samba_share_nfs --> off<br>>> use_samba_home_dirs --> off<br>>> virt_use_samba --> off<br>>><br>>> Comando para alterar a politica do selinux é o<br>>> [root@local ~]# setsebool -P samba_export_all_rw on<br>>><br>>> Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.<br>>><br>>> Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.<br>>> [root@local ~]# getfacl diretoria<br>>><br>>> Fabiano Stocco<br>>><br>>> Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca@gmail.com> escreveu:<br>>>><br>>>> Boa Tarde a todos,<br>>>><br>>>> Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.<br>>>><br>>>> segue alguns dados.<br>>>><br>>>> centos 6.2 (maquina de teste 32 bits)<br>>>> openldap 2.4.23-20.el6<br>>>> samba3-3.6.1-44.el6<br>>>><br>>>> bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.<br>>>><br>>>> EX: pasta diretoria<br>>>><br>>>> grupo ldap dono grp-diretoria<br>>>> direito na pasta 2770<br>>>><br>>>> coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro<br>>>><br>>>> grp-diretoria, Grupos, cmc<br>>>> dn: cn=grp-diretoria,ou=Grupos,o=cmc<br>>>> objectClass: top<br>>>> objectClass: posixGroup<br>>>> cn: grp-diretoria<br>>>> gidNumber: 533<br>>>> memberUid: gabriel<br>>>><br>>>> reparem os direitos da pasta<br>>>><br>>>> drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria<br>>>><br>>>><br>>>> e quando tento acessar tomo acesso negado na lata =\<br>>>><br>>>> para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.<br>>>><br>>>> na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.<br>>>><br>>>> Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".<br>>>><br>>>> Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...<br>>>><br>>>> Abraços a todos e fico no aguardo de uma ajuda !!!<br>>>> _______________________________________________<br>>>> CentOS-pt-br mailing list<br>>>> CentOS-pt-br@centos.org<br>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br<br>>>><br>>><br>>><br>>> _______________________________________________<br>>> CentOS-pt-br mailing list<br>>> CentOS-pt-br@centos.org<br>>> http://lists.centos.org/mailman/listinfo/centos-pt-br<br>>><br>>><br>>> _______________________________________________<br>>> CentOS-pt-br mailing list<br>>> CentOS-pt-br@centos.org<br>>> http://lists.centos.org/mailman/listinfo/centos-pt-br<br>>><br>><br>><br>> _______________________________________________<br>> CentOS-pt-br mailing list<br>> CentOS-pt-br@centos.org<br>> http://lists.centos.org/mailman/listinfo/centos-pt-br<br>><br>><br>> _______________________________________________<br>> CentOS-pt-br mailing list<br>> CentOS-pt-br@centos.org<br>> http://lists.centos.org/mailman/listinfo/centos-pt-br<br>><br>_______________________________________________<br>CentOS-pt-br mailing list<br>CentOS-pt-br@centos.org<br>http://lists.centos.org/mailman/listinfo/centos-pt-br<br></div><br></div></body></html>