Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
*grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel*
reparem os direitos da pasta
*drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria *
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!!
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl *diretoria *
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca gabriel.franca@gmail.comescreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
*grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel*
reparem os direitos da pasta
*drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Bom Dia Fabiano,
O PDC que vc tem esta utilizando o openldap ??
Sobre o SELINUX e a primeira coisa que eu desabilito no meu server rs...
[root@lx-cmc-smb sssd]# getsebool -a |grep samba
getsebool: SELinux is disabled
[root@lx-cmc-smb dpto]# getfacl diretoria
# file: diretoria # owner: root # group: grp-diretoria # flags: -s- user::rwx group::rwx other::---
no meu caso não costumo usar ACL =\
Eu estava olhando os logs do sssd e me deparei com essa mensagem.
arquivo sssd_default.log
(Fri Jan 13 11:49:33 2012) [sssd[be[default]]] [krb5_try_kdcip] (0): Your configuration uses the deprecated option 'krb5_kdcip' to specify the KDC. Please change the configuration to use the 'krb5_server' option instead.
arquivo sssd.log
(Thu Jan 12 23:19:18 2012) [sssd] [monitor_quit] (0): Monitor received Terminado: terminating children
Vou continuar o processo investigativo para tentar localizar esse problema agora o que acho esquisito e que quando eu coloquei os usuarios no grupo pela primeira vez ele pego os direitos e deixa ter o acesso tipo eu coloquei todos no grupo compartilhado e eles acessam a pasta compartilhado.
será que ainda tem alguma coisa com o ldap ? outra pergunta mudou muita coisa da versão 3.5.x para a 3.6.x do samba ? eu reparei q o IDMAP deu uma boa alterada.
passa ai pra mim a versão do seu samba
Atencisamente,
Gabriel O. Franca
----- Mensagem original -----
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca < gabriel.franca@gmail.com > escreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes
#Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes
#Configuracao wins wins support = yes # wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio ; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no" ; domain master = yes
#Tratamento das senhas encrypt passwords = yes
#Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers
#Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home =
#Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS) logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap://127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000
#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u"
#adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"
#Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
#Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u"
#Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes ; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte
#Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache
#============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
----- Mensagem original -----
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca < gabriel.franca@gmail.com > escreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo * objectClass:*sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o *posixGroup.
*Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca gabriel.franca@gmail.comescreveu:
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes #Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes #Configuracao wins wins support = yes
# wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio
; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no"
; domain master = yes
#Tratamento das senhas encrypt passwords = yes #Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers #Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home = #Script de logon em rede (deve ficar no compartilhamento netlogon
em formato DOS) logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap://127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000 #Permitir que usuarios do grupo "Administrador do Dominio" possam
ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" #adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" #Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u"
"%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" #Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u" #Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes
; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 #Ativar a internacionalizacao: permitir caracteres acentuados pelo
windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files =
/*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para
maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte #Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir,
rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache #============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
*De: *"fabiano stocco" fabianostocco@gmail.com *Para: *"Portuguese (Brazilian) CentOS mailing list" < centos-pt-br@centos.org> *Enviadas: *Quinta-feira, 12 de Janeiro de 2012 19:09:28 *Assunto: *Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl *diretoria *
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca gabriel.franca@gmail.comescreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
*grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel*
reparem os direitos da pasta
*drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
E ai meu rei !!
mesmo problema =\
# grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup objectClass: sambaGroupMapping cn: grp-diretoria gidNumber: 533 sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067 sambaGroupType: 2 displayName: grp-diretoria memberUid: gabriel memberUid: cezar
os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
Bom vai entender né.
Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
att
Gabriel
----- Mensagem original -----
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca < gabriel.franca@gmail.com > escreveu:
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes
#Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes
#Configuracao wins wins support = yes # wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio ; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no" ; domain master = yes
#Tratamento das senhas encrypt passwords = yes
#Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers
#Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home =
#Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS) logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap:// 127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap:// 127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000
#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u"
#adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"
#Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
#Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u"
#Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes ; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte
#Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache
#============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
De: "fabiano stocco" < fabianostocco@gmail.com > Para: "Portuguese (Brazilian) CentOS mailing list" < centos-pt-br@centos.org > Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca < gabriel.franca@gmail.com > escreveu:
<blockquote> Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
</blockquote>
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Vamos tentar mais uma coisa antes do acesso. Quando adicionou o usuário ao ldap, usou os atributos do samba na adição? Consulte por favor os atributos do usuário gabriel por exemplo.
#smbldap-useradd -a gabriel
Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito baixo. Consulta por favor o /etc/group se não existe outro grupo com esse id.
Se continuar a não dar certo vamos a conexão remota.
Abraço
Fabiano Stocco
Em 13 de janeiro de 2012 13:12, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
E ai meu rei !!
mesmo problema =\
# grp-diretoria, Grupos, cmc
dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup objectClass: sambaGroupMapping cn: grp-diretoria gidNumber: 533 sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067 sambaGroupType: 2 displayName: grp-diretoria memberUid: gabriel memberUid: cezar
os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
Bom vai entender né.
Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
att
Gabriel
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes
#Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes
#Configuracao wins wins support = yes # wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio ; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no" ; domain master = yes
#Tratamento das senhas encrypt passwords = yes
#Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers
#Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home =
#Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS) logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap://127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000
#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u"
#adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"
#Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
#Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u"
#Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes ; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte
#Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache
#============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca gabriel.franca@gmail.com escreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Grande Fabiano,
Então sobre a criação do usuario com o smbldap-useradd eu uso sim o -a.
E sobre o gid não existe nenhum outro grupo com o 533.
Dando mais um kdim de informação:
eu criei um usuario no caso rafael, coloquei ele em alguns grupos no caso rh e financeiro.
quando loguei ele teve acesso certinho as pastas que tinha direito e foi negado pra ele as pastas q ele não tem acesso (maravilha !!!).
agora quando altero ele de grupo os direitos novos não são passados e o direito antigo persiste =\ (sera que o centos guarda algum tipo de cache maldito e fica usando ele ? ou será q ele guarda um cache e de tempo em tempo ele faz uma nova consulta ao ldap ? )
Atenciosamente,
Gabriel
----- Mensagem original -----
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 14:50:48 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Vamos tentar mais uma coisa antes do acesso. Quando adicionou o usuário ao ldap, usou os atributos do samba na adição? Consulte por favor os atributos do usuário gabriel por exemplo.
#smbldap-useradd -a gabriel
Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito baixo. Consulta por favor o /etc/group se não existe outro grupo com esse id.
Se continuar a não dar certo vamos a conexão remota.
Abraço
Fabiano Stocco
Em 13 de janeiro de 2012 13:12, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
E ai meu rei !!
mesmo problema =\
# grp-diretoria, Grupos, cmc
dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup objectClass: sambaGroupMapping cn: grp-diretoria gidNumber: 533 sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067 sambaGroupType: 2 displayName: grp-diretoria memberUid: gabriel memberUid: cezar
os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
Bom vai entender né.
Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
att
Gabriel
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes
#Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes
#Configuracao wins wins support = yes # wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio ; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no" ; domain master = yes
#Tratamento das senhas encrypt passwords = yes
#Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers
#Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home =
#Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS) logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap://127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000
#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u"
#adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"
#Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
#Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u"
#Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes ; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte
#Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache
#============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca gabriel.franca@gmail.com escreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
Opa
Vamos ao acesso remoto.
Passa os dados para meu email.
T+
Em 13 de janeiro de 2012 15:10, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
Grande Fabiano,
Então sobre a criação do usuario com o smbldap-useradd eu uso sim o -a.
E sobre o gid não existe nenhum outro grupo com o 533.
Dando mais um kdim de informação:
eu criei um usuario no caso rafael, coloquei ele em alguns grupos no caso rh e financeiro.
quando loguei ele teve acesso certinho as pastas que tinha direito e foi negado pra ele as pastas q ele não tem acesso (maravilha !!!).
agora quando altero ele de grupo os direitos novos não são passados e o direito antigo persiste =\ (sera que o centos guarda algum tipo de cache maldito e fica usando ele ? ou será q ele guarda um cache e de tempo em tempo ele faz uma nova consulta ao ldap ? )
Atenciosamente,
Gabriel
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 14:50:48
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Vamos tentar mais uma coisa antes do acesso. Quando adicionou o usuário ao ldap, usou os atributos do samba na adição? Consulte por favor os atributos do usuário gabriel por exemplo.
#smbldap-useradd -a gabriel
Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito baixo. Consulta por favor o /etc/group se não existe outro grupo com esse id.
Se continuar a não dar certo vamos a conexão remota.
Abraço
Fabiano Stocco
Em 13 de janeiro de 2012 13:12, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
E ai meu rei !!
mesmo problema =\
# grp-diretoria, Grupos, cmc
dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup objectClass: sambaGroupMapping cn: grp-diretoria gidNumber: 533 sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067 sambaGroupType: 2 displayName: grp-diretoria memberUid: gabriel memberUid: cezar
os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
Bom vai entender né.
Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
att
Gabriel
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca gabriel.franca@gmail.com escreveu:
galera vou postar aqui o meu smb.conf.
uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
reparem que o que esta com ";" foi comentado direto pelo authconfig.
[global] #--authconfig--start-line--
# Generated by authconfig on 2012/01/12 15:45:28 # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) # Any modification may be deleted or altered by authconfig in future
workgroup = CMC security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /sbin/nologin winbind use default domain = false winbind offline logon = false
#--authconfig--end-line-- #Dominio, Nome e Descricao ; workgroup = CMC netbios name = LX-CMC-SMB server string = Servidor de Arquivos
#Nao mostrar no servidor o wizard "Adicionar Impressora" show add printer wizard = No printing = cups printcap name = cups load printers = yes
#Quais interfaces de rede Utilizar interfaces = lo, eth0 bind interfaces only = yes
#Configuracao wins wins support = yes # wins proxy = yes # wins server = yes
#Nivel de Mensagens log level = 3 log file = /var/log/samba/log.%U max log size = 50 debug level = 1 syslog = 0 #Atuar como um Servidor de Dominio ; security = user ; domain logons = yes preferred master = yes os level = 90
#Atuar como um PDC - caso seja BDC altere para "no" ; domain master = yes
#Tratamento das senhas encrypt passwords = yes
#Equivalencia de usuarios Windows x Linux username map = /etc/samba/smbusers
#Evitar o perfil ambulante do Windows NT/XP logon path = logon drive = logon home =
#Script de logon em rede (deve ficar no compartilhamento netlogon
- em formato DOS)
logon script = logon.bat
#Configuracoes para o LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = yes ldap ssl = no ldap admin dn = cn=admin,o=cmc ldap suffix = o=cmc ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # idmap backend = ldap:ldap://127.0.0.1 # idmap uid = 10000-2000 # idmap gid = 10000-20000 idmap config * : backend = ldap idmap config * : range = 10000-20000
#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba ##enable privileges = yes
#Scripts utilizados para Gerenciar Usuarios da Microsoft add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u"
#adicionar e remover Grupos add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"
#Scripts para adicionar e remover usuarios nos grupos add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
#Script para definir o grupo primario do usuario set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
#Script para adicionar maquina Win NT e XP ingressar no dominio add machine script = /usr/sbin/smbldap-useradd -w "%u"
#Otimizacoes recomendadas smb ports = 445 139 name resolve order = lmhosts host wins bcast utmp = yes time server = yes ; template shell = /bin/false ; winbind use default domain = no map acl inherit = yes strict locking = yes ## store dos attributes = yes
#Como o cliente ira se comunicar com o servidor socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows dos charset = CP850 unix charset = ISO8859-1
# nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ # nao tentar fazer um lock nestes arquivos veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows hidedotfiles = yes
#administradores do samba admin users = suporte
#Auditoria de Arquivos vfs objects = full_audit recycle full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S full_audit:failure = none full_audit:facility = local5 full_audit:priority = notice
#Lixeira individual recycle:keeptree = yes recycle:versions = yes recycle:repository = /dados/trash/%U recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso recycle:exclude_dir = tmp, cache
#============================= #===== Compartilhamentos ===== #=============================
[netlogon] comment = Servico de Logon em Rede [ logon.bat ] path = /dados/scripts/ browseable = yes read only = yes [home] comment = Diretorio Pessoal de Cada Usuario path = /dados/users/%u browseable = no writeable = yes create mask = 0700 directory mask = 0700 [dpto] comment = Pasta Departamental path = /dados/dpto writeable = yes force create mode = 0775 force directory mode = 0775
[share] comment = Pasta Compartilhada path = /dados/share writeable = yes force create mode = 2777 force directory mode = 2777
[sistema] comment = Sistemas [ G:\ ] path = /dados/sistemas writeable = yes force create mode = 2777 force directory mode = 2777
[lixeira] path = /dados/lixeira/%U writable = yes
De: "fabiano stocco" fabianostocco@gmail.com Para: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Opá
Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
[root@local ~]# getsebool -a | grep samba samba_create_home_dirs --> off samba_domain_controller --> off samba_enable_home_dirs --> off samba_export_all_ro --> off samba_export_all_rw --> off samba_run_unconfined --> off samba_share_fusefs --> off samba_share_nfs --> off use_samba_home_dirs --> off virt_use_samba --> off
Comando para alterar a politica do selinux é o [root@local ~]# setsebool -P samba_export_all_rw on
Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. [root@local ~]# getfacl diretoria
Fabiano Stocco
Em 12 de janeiro de 2012 16:43, Gabriel Franca gabriel.franca@gmail.com escreveu:
Boa Tarde a todos,
Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
segue alguns dados.
centos 6.2 (maquina de teste 32 bits) openldap 2.4.23-20.el6 samba3-3.6.1-44.el6
bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
EX: pasta diretoria
grupo ldap dono grp-diretoria direito na pasta 2770
coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
grp-diretoria, Grupos, cmc dn: cn=grp-diretoria,ou=Grupos,o=cmc objectClass: top objectClass: posixGroup cn: grp-diretoria gidNumber: 533 memberUid: gabriel
reparem os direitos da pasta
drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
e quando tento acessar tomo acesso negado na lata =\
para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
Abraços a todos e fico no aguardo de uma ajuda !!! _______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
CentOS-pt-br mailing list CentOS-pt-br@centos.org http://lists.centos.org/mailman/listinfo/centos-pt-br
discuss-pt-br@lists.centos.org