[CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas

Gabriel O. Franca gabriel.franca em gmail.com
Sexta Janeiro 13 10:12:41 EST 2012 

E ai meu rei !! 

mesmo problema =\ 

# grp-diretoria, Grupos, cmc 
dn: cn=grp-diretoria,ou=Grupos,o=cmc 
objectClass: top 
objectClass: posixGroup 
objectClass: sambaGroupMapping 
cn: grp-diretoria 
gidNumber: 533 
sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067 
sambaGroupType: 2 
displayName: grp-diretoria 
memberUid: gabriel 
memberUid: cezar 

os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario. 

pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado. 

Bom vai entender né. 

Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D 

att 

Gabriel 


----- Mensagem original -----

De: "fabiano stocco" <fabianostocco em gmail.com> 
Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br em centos.org> 
Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59 
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas 

Opa.. 

Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup. 

Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma. 

#smbldap-groupadd -a grp-diretoria 

Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap. 

Uso o samba 3.5.6-86.el6_1.4.x86_64 

Atenciosamente. 


Em 13 de janeiro de 2012 10:40, Gabriel O. Franca < gabriel.franca em gmail.com > escreveu: 




galera vou postar aqui o meu smb.conf. 

uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf 

reparem que o que esta com ";" foi comentado direto pelo authconfig. 

[global] 
#--authconfig--start-line-- 

# Generated by authconfig on 2012/01/12 15:45:28 
# DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--) 
# Any modification may be deleted or altered by authconfig in future 

workgroup = CMC 
security = ads 
idmap uid = 16777216-33554431 
idmap gid = 16777216-33554431 
template shell = /sbin/nologin 
winbind use default domain = false 
winbind offline logon = false 

#--authconfig--end-line-- 
#Dominio, Nome e Descricao 
; workgroup = CMC 
netbios name = LX-CMC-SMB 
server string = Servidor de Arquivos 

#Nao mostrar no servidor o wizard "Adicionar Impressora" 
show add printer wizard = No 
printing = cups 
printcap name = cups 
load printers = yes 

#Quais interfaces de rede Utilizar 
interfaces = lo, eth0 
bind interfaces only = yes 

#Configuracao wins 
wins support = yes 
# wins proxy = yes 
# wins server = yes 

#Nivel de Mensagens 
log level = 3 
log file = /var/log/samba/log.%U 
max log size = 50 
debug level = 1 
syslog = 0 
#Atuar como um Servidor de Dominio 
; security = user 
; domain logons = yes 
preferred master = yes 
os level = 90 

#Atuar como um PDC - caso seja BDC altere para "no" 
; domain master = yes 

#Tratamento das senhas 
encrypt passwords = yes 

#Equivalencia de usuarios Windows x Linux 
username map = /etc/samba/smbusers 

#Evitar o perfil ambulante do Windows NT/XP 
logon path = 
logon drive = 
logon home = 

#Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS) 
logon script = logon.bat 

#Configuracoes para o LDAP 
passdb backend = ldapsam:ldap:// 127.0.0.1 
ldap passwd sync = yes 
ldap delete dn = yes 
ldap ssl = no 
ldap admin dn = cn=admin,o=cmc 
ldap suffix = o=cmc 
ldap machine suffix = ou=Computadores 
ldap user suffix = ou=Usuarios 
ldap group suffix = ou=Grupos 
ldap idmap suffix = ou=Idmap 
# idmap backend = ldap:ldap:// 127.0.0.1 
# idmap uid = 10000-2000 # idmap gid = 10000-20000 
idmap config * : backend = ldap 
idmap config * : range = 10000-20000 

#Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba 
##enable privileges = yes 

#Scripts utilizados para Gerenciar Usuarios da Microsoft 
add user script = /usr/sbin/smbldap-useradd -m "%u" 
delete user script = /usr/sbin/smbldap-userdel "%u" 

#adicionar e remover Grupos 
add group script = /usr/sbin/smbldap-groupadd -p "%g" 
delete group script = /usr/sbin/smbldap-groupdel "%g" 

#Scripts para adicionar e remover usuarios nos grupos 
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" 
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" 

#Script para definir o grupo primario do usuario 
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" 

#Script para adicionar maquina Win NT e XP ingressar no dominio 
add machine script = /usr/sbin/smbldap-useradd -w "%u" 

#Otimizacoes recomendadas 
smb ports = 445 139 
name resolve order = lmhosts host wins bcast 
utmp = yes 
time server = yes 
; template shell = /bin/false 
; winbind use default domain = no 
map acl inherit = yes 
strict locking = yes 
## store dos attributes = yes 

#Como o cliente ira se comunicar com o servidor 
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 

#Ativar a internacionalizacao: permitir caracteres acentuados pelo windows 
dos charset = CP850 
unix charset = ISO8859-1 

# nao tentar fazer um lock nestes arquivos 
veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ 
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ 
# nao tentar fazer um lock nestes arquivos 
veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/ 
veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/ 

# Tratar os arquivos que comecam com "." como ocultos para maquinas Windows 
hidedotfiles = yes 

#administradores do samba 
admin users = suporte 

#Auditoria de Arquivos 
vfs objects = full_audit recycle 
full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown 
full_audit:prefix = %u|%I|%S 
full_audit:failure = none 
full_audit:facility = local5 
full_audit:priority = notice 

#Lixeira individual 
recycle:keeptree = yes 
recycle:versions = yes 
recycle:repository = /dados/trash/%U 
recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso 
recycle:exclude_dir = tmp, cache 

#============================= 
#===== Compartilhamentos ===== 
#============================= 


[netlogon] 
comment = Servico de Logon em Rede [ logon.bat ] 
path = /dados/scripts/ 
browseable = yes 
read only = yes 
[home] 
comment = Diretorio Pessoal de Cada Usuario 
path = /dados/users/%u 
browseable = no 
writeable = yes 
create mask = 0700 
directory mask = 0700 
[dpto] 
comment = Pasta Departamental 
path = /dados/dpto 
writeable = yes 
force create mode = 0775 
force directory mode = 0775 

[share] 
comment = Pasta Compartilhada 
path = /dados/share 
writeable = yes 
force create mode = 2777 
force directory mode = 2777 

[sistema] 
comment = Sistemas [ G:\ ] 
path = /dados/sistemas 
writeable = yes 
force create mode = 2777 
force directory mode = 2777 

[lixeira] 
path = /dados/lixeira/%U 
writable = yes 




De: "fabiano stocco" < fabianostocco em gmail.com > 
Para: "Portuguese (Brazilian) CentOS mailing list" < centos-pt-br em centos.org > 
Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28 
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas 



Opá 

Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo. 

Se der certo olhe as opções abaixo algumas delas deve estar lhe travando. 

[root em local ~]# getsebool -a | grep samba 
samba_create_home_dirs --> off 
samba_domain_controller --> off 
samba_enable_home_dirs --> off 
samba_export_all_ro --> off 
samba_export_all_rw --> off 
samba_run_unconfined --> off 
samba_share_fusefs --> off 
samba_share_nfs --> off 
use_samba_home_dirs --> off 
virt_use_samba --> off 

Comando para alterar a politica do selinux é o 
[root em local ~]# setsebool -P samba_export_all_rw on 

Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd. 

Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta. 
[root em local ~]# getfacl diretoria 

Fabiano Stocco 


Em 12 de janeiro de 2012 16:43, Gabriel Franca < gabriel.franca em gmail.com > escreveu: 

<blockquote>
Boa Tarde a todos, 

Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap. 

segue alguns dados. 

centos 6.2 (maquina de teste 32 bits) 
openldap 2.4.23-20.el6 
samba3-3.6.1-44.el6 

bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas. 

EX: pasta diretoria 

grupo ldap dono grp-diretoria 
direito na pasta 2770 

coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro 

grp-diretoria, Grupos, cmc 
dn: cn=grp-diretoria,ou=Grupos,o=cmc 
objectClass: top 
objectClass: posixGroup 
cn: grp-diretoria 
gidNumber: 533 
memberUid: gabriel 

reparem os direitos da pasta 

drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria 


e quando tento acessar tomo acesso negado na lata =\ 

para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui. 

na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito. 

Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria". 

Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs... 

Abraços a todos e fico no aguardo de uma ajuda !!! 
_______________________________________________ 
CentOS-pt-br mailing list 
CentOS-pt-br em centos.org 
http://lists.centos.org/mailman/listinfo/centos-pt-br 





_______________________________________________ 
CentOS-pt-br mailing list 
CentOS-pt-br em centos.org 
http://lists.centos.org/mailman/listinfo/centos-pt-br 


_______________________________________________ 
CentOS-pt-br mailing list 
CentOS-pt-br em centos.org 
http://lists.centos.org/mailman/listinfo/centos-pt-br 


</blockquote>


_______________________________________________ 
CentOS-pt-br mailing list 
CentOS-pt-br em centos.org 
http://lists.centos.org/mailman/listinfo/centos-pt-br 

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20120113/a8d7a31e/attachment.html

Mais detalhes sobre a lista de discussão CentOS-pt-br