[CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
fabiano stocco
fabianostocco em gmail.com
Sexta Janeiro 13 08:32:59 EST 2012
Opa..
Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo
não teve atributos do samba, como por exemplo *
objectClass:*sambaGroupMapping. Dessa forma o samba não mapeia o grupo
vindo do ldap,
apenas é mapeado pelo linux ou sistemas que aceitam o *posixGroup.
*Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da
seguinte forma.
#smbldap-groupadd -a grp-diretoria
Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos
do ldap.
Uso o samba 3.5.6-86.el6_1.4.x86_64
Atenciosamente.
Em 13 de janeiro de 2012 10:40, Gabriel O. Franca
<gabriel.franca em gmail.com>escreveu:
> galera vou postar aqui o meu smb.conf.
>
> uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
>
> reparem que o que esta com ";" foi comentado direto pelo authconfig.
>
> [global]
> #--authconfig--start-line--
>
> # Generated by authconfig on 2012/01/12 15:45:28
> # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
> # Any modification may be deleted or altered by authconfig in future
>
> workgroup = CMC
> security = ads
> idmap uid = 16777216-33554431
> idmap gid = 16777216-33554431
> template shell = /sbin/nologin
> winbind use default domain = false
> winbind offline logon = false
>
> #--authconfig--end-line--
> #Dominio, Nome e Descricao
> ; workgroup = CMC
> netbios name = LX-CMC-SMB
> server string = Servidor de Arquivos
>
> #Nao mostrar no servidor o wizard "Adicionar Impressora"
> show add printer wizard = No
> printing = cups
> printcap name = cups
> load printers = yes
>
> #Quais interfaces de rede Utilizar
> interfaces = lo, eth0
> bind interfaces only = yes
>
> #Configuracao wins
> wins support = yes
> # wins proxy = yes
> # wins server = yes
>
> #Nivel de Mensagens
> log level = 3
> log file = /var/log/samba/log.%U
> max log size = 50
> debug level = 1
> syslog = 0
> #Atuar como um Servidor de Dominio
> ; security = user
> ; domain logons = yes
> preferred master = yes
> os level = 90
>
> #Atuar como um PDC - caso seja BDC altere para "no"
> ; domain master = yes
>
> #Tratamento das senhas
> encrypt passwords = yes
>
> #Equivalencia de usuarios Windows x Linux
> username map = /etc/samba/smbusers
>
> #Evitar o perfil ambulante do Windows NT/XP
> logon path =
> logon drive =
> logon home =
>
> #Script de logon em rede (deve ficar no compartilhamento netlogon
> - em formato DOS)
> logon script = logon.bat
>
> #Configuracoes para o LDAP
> passdb backend = ldapsam:ldap://127.0.0.1
> ldap passwd sync = yes
> ldap delete dn = yes
> ldap ssl = no
> ldap admin dn = cn=admin,o=cmc
> ldap suffix = o=cmc
> ldap machine suffix = ou=Computadores
> ldap user suffix = ou=Usuarios
> ldap group suffix = ou=Grupos
> ldap idmap suffix = ou=Idmap
> # idmap backend = ldap:ldap://127.0.0.1
> # idmap uid = 10000-2000 # idmap gid = 10000-20000
> idmap config * : backend = ldap
> idmap config * : range = 10000-20000
>
> #Permitir que usuarios do grupo "Administrador do Dominio" possam
> ingressar maquinas winxp e nt ao dominio samba
> ##enable privileges = yes
>
> #Scripts utilizados para Gerenciar Usuarios da Microsoft
> add user script = /usr/sbin/smbldap-useradd -m "%u"
> delete user script = /usr/sbin/smbldap-userdel "%u"
>
> #adicionar e remover Grupos
> add group script = /usr/sbin/smbldap-groupadd -p "%g"
> delete group script = /usr/sbin/smbldap-groupdel "%g"
>
> #Scripts para adicionar e remover usuarios nos grupos
> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u"
> "%g"
>
> #Script para definir o grupo primario do usuario
> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>
> #Script para adicionar maquina Win NT e XP ingressar no dominio
> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>
> #Otimizacoes recomendadas
> smb ports = 445 139
> name resolve order = lmhosts host wins bcast
> utmp = yes
> time server = yes
> ; template shell = /bin/false
> ; winbind use default domain = no
> map acl inherit = yes
> strict locking = yes
> ## store dos attributes = yes
>
> #Como o cliente ira se comunicar com o servidor
> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>
> #Ativar a internacionalizacao: permitir caracteres acentuados pelo
> windows
> dos charset = CP850
> unix charset = ISO8859-1
>
> # nao tentar fazer um lock nestes arquivos
> veto files =
> /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
> veto oplock files =
> /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
> # nao tentar fazer um lock nestes arquivos
> veto files =
> /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
> veto oplock files =
> /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>
> # Tratar os arquivos que comecam com "." como ocultos para
> maquinas Windows
> hidedotfiles = yes
>
> #administradores do samba
> admin users = suporte
>
> #Auditoria de Arquivos
> vfs objects = full_audit recycle
> full_audit:success = open, opendir, write, unlink, rename, mkdir,
> rmdir, chmod, chown
> full_audit:prefix = %u|%I|%S
> full_audit:failure = none
> full_audit:facility = local5
> full_audit:priority = notice
>
> #Lixeira individual
> recycle:keeptree = yes
> recycle:versions = yes
> recycle:repository = /dados/trash/%U
> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso
> recycle:exclude_dir = tmp, cache
>
> #=============================
> #===== Compartilhamentos =====
> #=============================
>
>
> [netlogon]
> comment = Servico de Logon em Rede [ logon.bat ]
> path = /dados/scripts/
> browseable = yes
> read only = yes
> [home]
> comment = Diretorio Pessoal de Cada Usuario
> path = /dados/users/%u
> browseable = no
> writeable = yes
> create mask = 0700
> directory mask = 0700
> [dpto]
> comment = Pasta Departamental
> path = /dados/dpto
> writeable = yes
> force create mode = 0775
> force directory mode = 0775
>
> [share]
> comment = Pasta Compartilhada
> path = /dados/share
> writeable = yes
> force create mode = 2777
> force directory mode = 2777
>
> [sistema]
> comment = Sistemas [ G:\ ]
> path = /dados/sistemas
> writeable = yes
> force create mode = 2777
> force directory mode = 2777
>
> [lixeira]
> path = /dados/lixeira/%U
> writable = yes
>
> ------------------------------
> *De: *"fabiano stocco" <fabianostocco em gmail.com>
> *Para: *"Portuguese (Brazilian) CentOS mailing list" <
> centos-pt-br em centos.org>
> *Enviadas: *Quinta-feira, 12 de Janeiro de 2012 19:09:28
> *Assunto: *Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com
> direito nas pastas
>
> Opá
>
> Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o
> centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com
> isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo
> permissivo.
>
> Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
>
> [root em local ~]# getsebool -a | grep samba
> samba_create_home_dirs --> off
> samba_domain_controller --> off
> samba_enable_home_dirs --> off
> samba_export_all_ro --> off
> samba_export_all_rw --> off
> samba_run_unconfined --> off
> samba_share_fusefs --> off
> samba_share_nfs --> off
> use_samba_home_dirs --> off
> virt_use_samba --> off
>
> Comando para alterar a politica do selinux é o
> [root em local ~]# setsebool -P samba_export_all_rw on
>
> Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de
> autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma
> configuração extra com o sssd.
>
> Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para
> verificação da permissão real da pasta.
> [root em local ~]# getfacl *diretoria *
>
> Fabiano Stocco
>
> Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca em gmail.com>escreveu:
>
>> Boa Tarde a todos,
>>
>> Estou com um pequeno problema relacionado a autenticação do centos 6.2 no
>> openldap.
>>
>> segue alguns dados.
>>
>> centos 6.2 (maquina de teste 32 bits)
>> openldap 2.4.23-20.el6
>> samba3-3.6.1-44.el6
>>
>> bom vamos ao problema eu uso o samba autenticando no openldap e esta
>> funcionando di boa as estações estão entrando no dominio o problema que
>> está acontecendo agora e relacionado a direitos nas pastas.
>>
>> EX: pasta diretoria
>>
>> grupo ldap dono grp-diretoria
>> direito na pasta 2770
>>
>> coloco um usuario dentro do grupo atraves do ldap account manager do o
>> comando ldapsearch -x e olho q no grupo o usuario está lah dentro
>>
>> *grp-diretoria, Grupos, cmc
>> dn: cn=grp-diretoria,ou=Grupos,o=cmc
>> objectClass: top
>> objectClass: posixGroup
>> cn: grp-diretoria
>> gidNumber: 533
>> memberUid: gabriel*
>>
>> reparem os direitos da pasta
>>
>> *drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
>> *
>>
>> e quando tento acessar tomo acesso negado na lata =\
>>
>> para colocar o Centos para usar a autenticação ldap eu utilizo o comando
>> authconfig-tui.
>>
>> na versão Centos 5.x funciona tranquilamente essa autenticação agora no
>> 6.X está dando essa falta de direito.
>>
>> Agora o q me deixa com um nó na cabeça e que o Centos 6.X está
>> autenticando na base ldap pq ele me permite utilizar os grupos do ldap no
>> caso o "grp-diretoria".
>>
>> Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em
>> uma base openldap ? alguem pls da uma luz !!! rs...
>>
>> Abraços a todos e fico no aguardo de uma ajuda !!!
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20120113/5574189b/attachment.html
Mais detalhes sobre a lista de discussão CentOS-pt-br