galera vou postar aqui o meu smb.conf.

uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf

reparem que o que esta com ";" foi comentado direto pelo authconfig.

[global]
#--authconfig--start-line--

# Generated by authconfig on 2012/01/12 15:45:28
# DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
# Any modification may be deleted or altered by authconfig in future

   workgroup = CMC
   security = ads
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
   template shell = /sbin/nologin
   winbind use default domain = false
   winbind offline logon = false

#--authconfig--end-line--
        #Dominio, Nome e Descricao
;        workgroup = CMC
        netbios name = LX-CMC-SMB
        server string = Servidor de Arquivos

        #Nao mostrar no servidor o wizard "Adicionar Impressora"
        show add printer wizard = No
        printing = cups
        printcap name = cups
        load printers = yes

        #Quais interfaces de rede Utilizar
        interfaces = lo, eth0
        bind interfaces only = yes

        #Configuracao wins
        wins support = yes
#       wins proxy = yes
#       wins server = yes

        #Nivel de Mensagens
        log level = 3
        log file = /var/log/samba/log.%U
        max log size = 50
        debug level = 1
        syslog = 0
        #Atuar como um Servidor de Dominio
;        security = user
;        domain logons = yes
        preferred master = yes
        os level = 90

        #Atuar como um PDC - caso seja BDC altere para "no"
;        domain master = yes

        #Tratamento das senhas
        encrypt passwords = yes

        #Equivalencia de usuarios Windows x Linux
        username map = /etc/samba/smbusers

        #Evitar o perfil ambulante do Windows NT/XP
        logon path =
        logon drive =
        logon home =

        #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)
        logon script = logon.bat

        #Configuracoes para o LDAP
        passdb backend = ldapsam:ldap://127.0.0.1
        ldap passwd sync = yes
        ldap delete dn = yes
        ldap ssl = no
        ldap admin dn = cn=admin,o=cmc
        ldap suffix = o=cmc
        ldap machine suffix = ou=Computadores
        ldap user suffix = ou=Usuarios
        ldap group suffix = ou=Grupos
        ldap idmap suffix = ou=Idmap
       # idmap backend = ldap:ldap://127.0.0.1
      #  idmap uid = 10000-2000 #  idmap gid = 10000-20000
        idmap config * : backend = ldap
        idmap config * : range = 10000-20000

        #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba
        ##enable privileges = yes

        #Scripts utilizados para Gerenciar Usuarios da Microsoft
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        delete user script = /usr/sbin/smbldap-userdel "%u"

        #adicionar e remover Grupos
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        delete group script = /usr/sbin/smbldap-groupdel "%g"

        #Scripts para adicionar e remover usuarios nos grupos
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

        #Script para definir o grupo primario do usuario
        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

        #Script para adicionar maquina Win NT e XP ingressar no dominio
        add machine script = /usr/sbin/smbldap-useradd -w "%u"

        #Otimizacoes recomendadas
        smb ports = 445 139
        name resolve order = lmhosts host wins bcast
        utmp = yes
        time server = yes
;        template shell = /bin/false
;        winbind use default domain = no
        map acl inherit = yes
        strict locking = yes
       ## store dos attributes = yes

        #Como o cliente ira se comunicar com o servidor
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

        #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows
        dos charset = CP850
        unix charset = ISO8859-1

        # nao tentar fazer um lock nestes arquivos
        veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
        veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
          # nao tentar fazer um lock nestes arquivos
        veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
        veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/

        # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows
        hidedotfiles = yes

        #administradores do samba
        admin users = suporte

        #Auditoria de Arquivos
        vfs objects = full_audit recycle
        full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown
        full_audit:prefix = %u|%I|%S
        full_audit:failure = none
        full_audit:facility = local5
        full_audit:priority = notice

        #Lixeira individual
        recycle:keeptree = yes
        recycle:versions = yes
        recycle:repository = /dados/trash/%U
        recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso
        recycle:exclude_dir = tmp, cache

        #=============================
        #===== Compartilhamentos =====
        #=============================


[netlogon]
        comment = Servico de Logon em Rede [ logon.bat ]
        path = /dados/scripts/
        browseable = yes
        read only = yes
[home]
        comment = Diretorio Pessoal de Cada Usuario
        path = /dados/users/%u
        browseable = no
        writeable = yes
        create mask = 0700
        directory mask = 0700
[dpto]
        comment = Pasta Departamental
        path = /dados/dpto
        writeable = yes
        force create mode = 0775
        force directory mode = 0775

[share]
        comment = Pasta Compartilhada
        path = /dados/share
        writeable = yes
        force create mode = 2777
        force directory mode = 2777

[sistema]
        comment = Sistemas [ G:\ ]
        path = /dados/sistemas
        writeable = yes
        force create mode = 2777
        force directory mode = 2777

[lixeira]
        path = /dados/lixeira/%U
        writable = yes

---

De: "fabiano stocco" <fabianostocco@gmail.com>
Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org>
Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito        nas pastas

Opá

Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.

Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.

[root@local ~]# getsebool -a | grep samba
samba_create_home_dirs --> off
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_run_unconfined --> off
samba_share_fusefs --> off
samba_share_nfs --> off
use_samba_home_dirs --> off
virt_use_samba --> off

Comando para alterar a politica do selinux é o
[root@local ~]# setsebool -P samba_export_all_rw on

Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap  e foi para o sssd. Pode ter alguma configuração extra com o sssd.

Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.
[root@local ~]# getfacl diretoria

Fabiano Stocco

Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca@gmail.com> escreveu:

Boa Tarde a todos,

Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.

segue alguns dados.

centos 6.2 (maquina de teste 32 bits)
openldap 2.4.23-20.el6
samba3-3.6.1-44.el6

bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.

EX: pasta diretoria

grupo ldap dono grp-diretoria
direito na pasta 2770

coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro

grp-diretoria, Grupos, cmc
dn: cn=grp-diretoria,ou=Grupos,o=cmc
objectClass: top
objectClass: posixGroup
cn: grp-diretoria
gidNumber: 533
memberUid: gabriel

reparem os direitos da pasta

drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria


e quando tento acessar tomo acesso negado na lata =\

para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.

na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.

Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".

Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...

Abraços a todos e fico no aguardo de uma ajuda !!!
_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br