De: "fabiano stocco" <fabianostocco@gmail.com>
Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org>
Enviadas: Sexta-feira, 13 de Janeiro de 2012 14:50:48
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito        nas pastas

Vamos tentar mais uma coisa antes do acesso.
Quando adicionou o usuário ao ldap, usou os atributos do samba na
adição? Consulte por favor os atributos do usuário gabriel por
exemplo.

#smbldap-useradd -a gabriel

Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito
baixo.  Consulta por favor o /etc/group se não existe outro grupo com
esse id.

Se continuar a não dar certo vamos a conexão remota.

Abraço

Fabiano Stocco



Em 13 de janeiro de 2012 13:12, Gabriel O. Franca
<gabriel.franca@gmail.com> escreveu:
>
> E ai meu rei !!
>
> mesmo problema =\
>
> # grp-diretoria, Grupos, cmc
>
> dn: cn=grp-diretoria,ou=Grupos,o=cmc
> objectClass: top
> objectClass: posixGroup
> objectClass: sambaGroupMapping
> cn: grp-diretoria
> gidNumber: 533
> sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067
> sambaGroupType: 2
> displayName: grp-diretoria
> memberUid: gabriel
> memberUid: cezar
>
> os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
>
> pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
>
> Bom vai entender né.
>
> Continuando  com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
>
> att
>
> Gabriel
>
>
> ________________________________
> De: "fabiano stocco" <fabianostocco@gmail.com>
> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org>
> Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
>
> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito        nas pastas
>
> Opa..
>
> Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos  do samba, como por exemplo  objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
>
> Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
>
> #smbldap-groupadd -a grp-diretoria
>
> Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
>
> Uso o samba 3.5.6-86.el6_1.4.x86_64
>
> Atenciosamente.
>
> Em 13 de janeiro de 2012 10:40, Gabriel O. Franca <gabriel.franca@gmail.com> escreveu:
>>
>> galera vou postar aqui o meu smb.conf.
>>
>> uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
>>
>> reparem que o que esta com ";" foi comentado direto pelo authconfig.
>>
>> [global]
>> #--authconfig--start-line--
>>
>> # Generated by authconfig on 2012/01/12 15:45:28
>> # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
>> # Any modification may be deleted or altered by authconfig in future
>>
>>    workgroup = CMC
>>    security = ads
>>    idmap uid = 16777216-33554431
>>    idmap gid = 16777216-33554431
>>    template shell = /sbin/nologin
>>    winbind use default domain = false
>>    winbind offline logon = false
>>
>> #--authconfig--end-line--
>>         #Dominio, Nome e Descricao
>> ;        workgroup = CMC
>>         netbios name = LX-CMC-SMB
>>         server string = Servidor de Arquivos
>>
>>         #Nao mostrar no servidor o wizard "Adicionar Impressora"
>>         show add printer wizard = No
>>         printing = cups
>>         printcap name = cups
>>         load printers = yes
>>
>>         #Quais interfaces de rede Utilizar
>>         interfaces = lo, eth0
>>         bind interfaces only = yes
>>
>>         #Configuracao wins
>>         wins support = yes
>> #       wins proxy = yes
>> #       wins server = yes
>>
>>         #Nivel de Mensagens
>>         log level = 3
>>         log file = /var/log/samba/log.%U
>>         max log size = 50
>>         debug level = 1
>>         syslog = 0
>>         #Atuar como um Servidor de Dominio
>> ;        security = user
>> ;        domain logons = yes
>>         preferred master = yes
>>         os level = 90
>>
>>         #Atuar como um PDC - caso seja BDC altere para "no"
>> ;        domain master = yes
>>
>>         #Tratamento das senhas
>>         encrypt passwords = yes
>>
>>         #Equivalencia de usuarios Windows x Linux
>>         username map = /etc/samba/smbusers
>>
>>         #Evitar o perfil ambulante do Windows NT/XP
>>         logon path =
>>         logon drive =
>>         logon home =
>>
>>         #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)
>>         logon script = logon.bat
>>
>>         #Configuracoes para o LDAP
>>         passdb backend = ldapsam:ldap://127.0.0.1
>>         ldap passwd sync = yes
>>         ldap delete dn = yes
>>         ldap ssl = no
>>         ldap admin dn = cn=admin,o=cmc
>>         ldap suffix = o=cmc
>>         ldap machine suffix = ou=Computadores
>>         ldap user suffix = ou=Usuarios
>>         ldap group suffix = ou=Grupos
>>         ldap idmap suffix = ou=Idmap
>>        # idmap backend = ldap:ldap://127.0.0.1
>>       #  idmap uid = 10000-2000 #  idmap gid = 10000-20000
>>         idmap config * : backend = ldap
>>         idmap config * : range = 10000-20000
>>
>>         #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba
>>         ##enable privileges = yes
>>
>>         #Scripts utilizados para Gerenciar Usuarios da Microsoft
>>         add user script = /usr/sbin/smbldap-useradd -m "%u"
>>         delete user script = /usr/sbin/smbldap-userdel "%u"
>>
>>         #adicionar e remover Grupos
>>         add group script = /usr/sbin/smbldap-groupadd -p "%g"
>>         delete group script = /usr/sbin/smbldap-groupdel "%g"
>>
>>         #Scripts para adicionar e remover usuarios nos grupos
>>         add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
>>         delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
>>
>>         #Script para definir o grupo primario do usuario
>>         set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>
>>         #Script para adicionar maquina Win NT e XP ingressar no dominio
>>         add machine script = /usr/sbin/smbldap-useradd -w "%u"
>>
>>         #Otimizacoes recomendadas
>>         smb ports = 445 139
>>         name resolve order = lmhosts host wins bcast
>>         utmp = yes
>>         time server = yes
>> ;        template shell = /bin/false
>> ;        winbind use default domain = no
>>         map acl inherit = yes
>>         strict locking = yes
>>        ## store dos attributes = yes
>>
>>         #Como o cliente ira se comunicar com o servidor
>>         socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>>
>>         #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows
>>         dos charset = CP850
>>         unix charset = ISO8859-1
>>
>>         # nao tentar fazer um lock nestes arquivos
>>         veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>>         veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>>           # nao tentar fazer um lock nestes arquivos
>>         veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>>         veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>>
>>         # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows
>>         hidedotfiles = yes
>>
>>         #administradores do samba
>>         admin users = suporte
>>
>>         #Auditoria de Arquivos
>>         vfs objects = full_audit recycle
>>         full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown
>>         full_audit:prefix = %u|%I|%S
>>         full_audit:failure = none
>>         full_audit:facility = local5
>>         full_audit:priority = notice
>>
>>         #Lixeira individual
>>         recycle:keeptree = yes
>>         recycle:versions = yes
>>         recycle:repository = /dados/trash/%U
>>         recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso
>>         recycle:exclude_dir = tmp, cache
>>
>>         #=============================
>>         #===== Compartilhamentos =====
>>         #=============================
>>
>>
>> [netlogon]
>>         comment = Servico de Logon em Rede [ logon.bat ]
>>         path = /dados/scripts/
>>         browseable = yes
>>         read only = yes
>> [home]
>>         comment = Diretorio Pessoal de Cada Usuario
>>         path = /dados/users/%u
>>         browseable = no
>>         writeable = yes
>>         create mask = 0700
>>         directory mask = 0700
>> [dpto]
>>         comment = Pasta Departamental
>>         path = /dados/dpto
>>         writeable = yes
>>         force create mode = 0775
>>         force directory mode = 0775
>>
>> [share]
>>         comment = Pasta Compartilhada
>>         path = /dados/share
>>         writeable = yes
>>         force create mode = 2777
>>         force directory mode = 2777
>>
>> [sistema]
>>         comment = Sistemas [ G:\ ]
>>         path = /dados/sistemas
>>         writeable = yes
>>         force create mode = 2777
>>         force directory mode = 2777
>>
>> [lixeira]
>>         path = /dados/lixeira/%U
>>         writable = yes
>>
>> ________________________________
>> De: "fabiano stocco" <fabianostocco@gmail.com>
>> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br@centos.org>
>> Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28
>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito        nas pastas
>>
>> Opá
>>
>> Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
>>
>> Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
>>
>> [root@local ~]# getsebool -a | grep samba
>> samba_create_home_dirs --> off
>> samba_domain_controller --> off
>> samba_enable_home_dirs --> off
>> samba_export_all_ro --> off
>> samba_export_all_rw --> off
>> samba_run_unconfined --> off
>> samba_share_fusefs --> off
>> samba_share_nfs --> off
>> use_samba_home_dirs --> off
>> virt_use_samba --> off
>>
>> Comando para alterar a politica do selinux é o
>> [root@local ~]# setsebool -P samba_export_all_rw on
>>
>> Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap  e foi para o sssd. Pode ter alguma configuração extra com o sssd.
>>
>> Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.
>> [root@local ~]# getfacl diretoria
>>
>> Fabiano Stocco
>>
>> Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca@gmail.com> escreveu:
>>>
>>> Boa Tarde a todos,
>>>
>>> Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
>>>
>>> segue alguns dados.
>>>
>>> centos 6.2 (maquina de teste 32 bits)
>>> openldap 2.4.23-20.el6
>>> samba3-3.6.1-44.el6
>>>
>>> bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
>>>
>>> EX: pasta diretoria
>>>
>>> grupo ldap dono grp-diretoria
>>> direito na pasta 2770
>>>
>>> coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
>>>
>>> grp-diretoria, Grupos, cmc
>>> dn: cn=grp-diretoria,ou=Grupos,o=cmc
>>> objectClass: top
>>> objectClass: posixGroup
>>> cn: grp-diretoria
>>> gidNumber: 533
>>> memberUid: gabriel
>>>
>>> reparem os direitos da pasta
>>>
>>> drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
>>>
>>>
>>> e quando tento acessar tomo acesso negado na lata =\
>>>
>>> para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
>>>
>>> na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
>>>
>>> Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
>>>
>>> Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
>>>
>>> Abraços a todos e fico no aguardo de uma ajuda !!!
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br@centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br@centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br@centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br@centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br@centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br