[CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Gabriel O. Franca
gabriel.franca em gmail.com
Sexta Janeiro 13 12:10:20 EST 2012
Grande Fabiano,
Então sobre a criação do usuario com o smbldap-useradd eu uso sim o -a.
E sobre o gid não existe nenhum outro grupo com o 533.
Dando mais um kdim de informação:
eu criei um usuario no caso rafael, coloquei ele em alguns grupos no caso rh e financeiro.
quando loguei ele teve acesso certinho as pastas que tinha direito e foi negado pra ele as pastas q ele não tem acesso (maravilha !!!).
agora quando altero ele de grupo os direitos novos não são passados e o direito antigo persiste =\ (sera que o centos guarda algum tipo de cache maldito e fica usando ele ? ou será q ele guarda um cache e de tempo em tempo ele faz uma nova consulta ao ldap ? )
Atenciosamente,
Gabriel
----- Mensagem original -----
De: "fabiano stocco" <fabianostocco em gmail.com>
Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br em centos.org>
Enviadas: Sexta-feira, 13 de Janeiro de 2012 14:50:48
Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
Vamos tentar mais uma coisa antes do acesso.
Quando adicionou o usuário ao ldap, usou os atributos do samba na
adição? Consulte por favor os atributos do usuário gabriel por
exemplo.
#smbldap-useradd -a gabriel
Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito
baixo. Consulta por favor o /etc/group se não existe outro grupo com
esse id.
Se continuar a não dar certo vamos a conexão remota.
Abraço
Fabiano Stocco
Em 13 de janeiro de 2012 13:12, Gabriel O. Franca
<gabriel.franca em gmail.com> escreveu:
>
> E ai meu rei !!
>
> mesmo problema =\
>
> # grp-diretoria, Grupos, cmc
>
> dn: cn=grp-diretoria,ou=Grupos,o=cmc
> objectClass: top
> objectClass: posixGroup
> objectClass: sambaGroupMapping
> cn: grp-diretoria
> gidNumber: 533
> sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067
> sambaGroupType: 2
> displayName: grp-diretoria
> memberUid: gabriel
> memberUid: cezar
>
> os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso normalmente para esse usuario.
>
> pela analise que estou fazendo e como se o centos não fosse consultar a base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova que foi colocado.
>
> Bom vai entender né.
>
> Continuando com as pesquisas se pensar em algo diferente ou quiser ter acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica mais facil tentar achar o problema =D
>
> att
>
> Gabriel
>
>
> ________________________________
> De: "fabiano stocco" <fabianostocco em gmail.com>
> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br em centos.org>
> Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
>
> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
>
> Opa..
>
> Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o mesmo não teve atributos do samba, como por exemplo objectClass: sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap, apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
>
> Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da seguinte forma.
>
> #smbldap-groupadd -a grp-diretoria
>
> Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos do ldap.
>
> Uso o samba 3.5.6-86.el6_1.4.x86_64
>
> Atenciosamente.
>
> Em 13 de janeiro de 2012 10:40, Gabriel O. Franca <gabriel.franca em gmail.com> escreveu:
>>
>> galera vou postar aqui o meu smb.conf.
>>
>> uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
>>
>> reparem que o que esta com ";" foi comentado direto pelo authconfig.
>>
>> [global]
>> #--authconfig--start-line--
>>
>> # Generated by authconfig on 2012/01/12 15:45:28
>> # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
>> # Any modification may be deleted or altered by authconfig in future
>>
>> workgroup = CMC
>> security = ads
>> idmap uid = 16777216-33554431
>> idmap gid = 16777216-33554431
>> template shell = /sbin/nologin
>> winbind use default domain = false
>> winbind offline logon = false
>>
>> #--authconfig--end-line--
>> #Dominio, Nome e Descricao
>> ; workgroup = CMC
>> netbios name = LX-CMC-SMB
>> server string = Servidor de Arquivos
>>
>> #Nao mostrar no servidor o wizard "Adicionar Impressora"
>> show add printer wizard = No
>> printing = cups
>> printcap name = cups
>> load printers = yes
>>
>> #Quais interfaces de rede Utilizar
>> interfaces = lo, eth0
>> bind interfaces only = yes
>>
>> #Configuracao wins
>> wins support = yes
>> # wins proxy = yes
>> # wins server = yes
>>
>> #Nivel de Mensagens
>> log level = 3
>> log file = /var/log/samba/log.%U
>> max log size = 50
>> debug level = 1
>> syslog = 0
>> #Atuar como um Servidor de Dominio
>> ; security = user
>> ; domain logons = yes
>> preferred master = yes
>> os level = 90
>>
>> #Atuar como um PDC - caso seja BDC altere para "no"
>> ; domain master = yes
>>
>> #Tratamento das senhas
>> encrypt passwords = yes
>>
>> #Equivalencia de usuarios Windows x Linux
>> username map = /etc/samba/smbusers
>>
>> #Evitar o perfil ambulante do Windows NT/XP
>> logon path =
>> logon drive =
>> logon home =
>>
>> #Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)
>> logon script = logon.bat
>>
>> #Configuracoes para o LDAP
>> passdb backend = ldapsam:ldap://127.0.0.1
>> ldap passwd sync = yes
>> ldap delete dn = yes
>> ldap ssl = no
>> ldap admin dn = cn=admin,o=cmc
>> ldap suffix = o=cmc
>> ldap machine suffix = ou=Computadores
>> ldap user suffix = ou=Usuarios
>> ldap group suffix = ou=Grupos
>> ldap idmap suffix = ou=Idmap
>> # idmap backend = ldap:ldap://127.0.0.1
>> # idmap uid = 10000-2000 # idmap gid = 10000-20000
>> idmap config * : backend = ldap
>> idmap config * : range = 10000-20000
>>
>> #Permitir que usuarios do grupo "Administrador do Dominio" possam ingressar maquinas winxp e nt ao dominio samba
>> ##enable privileges = yes
>>
>> #Scripts utilizados para Gerenciar Usuarios da Microsoft
>> add user script = /usr/sbin/smbldap-useradd -m "%u"
>> delete user script = /usr/sbin/smbldap-userdel "%u"
>>
>> #adicionar e remover Grupos
>> add group script = /usr/sbin/smbldap-groupadd -p "%g"
>> delete group script = /usr/sbin/smbldap-groupdel "%g"
>>
>> #Scripts para adicionar e remover usuarios nos grupos
>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
>> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
>>
>> #Script para definir o grupo primario do usuario
>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>
>> #Script para adicionar maquina Win NT e XP ingressar no dominio
>> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>>
>> #Otimizacoes recomendadas
>> smb ports = 445 139
>> name resolve order = lmhosts host wins bcast
>> utmp = yes
>> time server = yes
>> ; template shell = /bin/false
>> ; winbind use default domain = no
>> map acl inherit = yes
>> strict locking = yes
>> ## store dos attributes = yes
>>
>> #Como o cliente ira se comunicar com o servidor
>> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>>
>> #Ativar a internacionalizacao: permitir caracteres acentuados pelo windows
>> dos charset = CP850
>> unix charset = ISO8859-1
>>
>> # nao tentar fazer um lock nestes arquivos
>> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>> veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>> # nao tentar fazer um lock nestes arquivos
>> veto files = /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>> veto oplock files = /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>>
>> # Tratar os arquivos que comecam com "." como ocultos para maquinas Windows
>> hidedotfiles = yes
>>
>> #administradores do samba
>> admin users = suporte
>>
>> #Auditoria de Arquivos
>> vfs objects = full_audit recycle
>> full_audit:success = open, opendir, write, unlink, rename, mkdir, rmdir, chmod, chown
>> full_audit:prefix = %u|%I|%S
>> full_audit:failure = none
>> full_audit:facility = local5
>> full_audit:priority = notice
>>
>> #Lixeira individual
>> recycle:keeptree = yes
>> recycle:versions = yes
>> recycle:repository = /dados/trash/%U
>> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso
>> recycle:exclude_dir = tmp, cache
>>
>> #=============================
>> #===== Compartilhamentos =====
>> #=============================
>>
>>
>> [netlogon]
>> comment = Servico de Logon em Rede [ logon.bat ]
>> path = /dados/scripts/
>> browseable = yes
>> read only = yes
>> [home]
>> comment = Diretorio Pessoal de Cada Usuario
>> path = /dados/users/%u
>> browseable = no
>> writeable = yes
>> create mask = 0700
>> directory mask = 0700
>> [dpto]
>> comment = Pasta Departamental
>> path = /dados/dpto
>> writeable = yes
>> force create mode = 0775
>> force directory mode = 0775
>>
>> [share]
>> comment = Pasta Compartilhada
>> path = /dados/share
>> writeable = yes
>> force create mode = 2777
>> force directory mode = 2777
>>
>> [sistema]
>> comment = Sistemas [ G:\ ]
>> path = /dados/sistemas
>> writeable = yes
>> force create mode = 2777
>> force directory mode = 2777
>>
>> [lixeira]
>> path = /dados/lixeira/%U
>> writable = yes
>>
>> ________________________________
>> De: "fabiano stocco" <fabianostocco em gmail.com>
>> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br em centos.org>
>> Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28
>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
>>
>> Opá
>>
>> Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo permissivo.
>>
>> Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
>>
>> [root em local ~]# getsebool -a | grep samba
>> samba_create_home_dirs --> off
>> samba_domain_controller --> off
>> samba_enable_home_dirs --> off
>> samba_export_all_ro --> off
>> samba_export_all_rw --> off
>> samba_run_unconfined --> off
>> samba_share_fusefs --> off
>> samba_share_nfs --> off
>> use_samba_home_dirs --> off
>> virt_use_samba --> off
>>
>> Comando para alterar a politica do selinux é o
>> [root em local ~]# setsebool -P samba_export_all_rw on
>>
>> Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma configuração extra com o sssd.
>>
>> Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo para verificação da permissão real da pasta.
>> [root em local ~]# getfacl diretoria
>>
>> Fabiano Stocco
>>
>> Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca em gmail.com> escreveu:
>>>
>>> Boa Tarde a todos,
>>>
>>> Estou com um pequeno problema relacionado a autenticação do centos 6.2 no openldap.
>>>
>>> segue alguns dados.
>>>
>>> centos 6.2 (maquina de teste 32 bits)
>>> openldap 2.4.23-20.el6
>>> samba3-3.6.1-44.el6
>>>
>>> bom vamos ao problema eu uso o samba autenticando no openldap e esta funcionando di boa as estações estão entrando no dominio o problema que está acontecendo agora e relacionado a direitos nas pastas.
>>>
>>> EX: pasta diretoria
>>>
>>> grupo ldap dono grp-diretoria
>>> direito na pasta 2770
>>>
>>> coloco um usuario dentro do grupo atraves do ldap account manager do o comando ldapsearch -x e olho q no grupo o usuario está lah dentro
>>>
>>> grp-diretoria, Grupos, cmc
>>> dn: cn=grp-diretoria,ou=Grupos,o=cmc
>>> objectClass: top
>>> objectClass: posixGroup
>>> cn: grp-diretoria
>>> gidNumber: 533
>>> memberUid: gabriel
>>>
>>> reparem os direitos da pasta
>>>
>>> drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
>>>
>>>
>>> e quando tento acessar tomo acesso negado na lata =\
>>>
>>> para colocar o Centos para usar a autenticação ldap eu utilizo o comando authconfig-tui.
>>>
>>> na versão Centos 5.x funciona tranquilamente essa autenticação agora no 6.X está dando essa falta de direito.
>>>
>>> Agora o q me deixa com um nó na cabeça e que o Centos 6.X está autenticando na base ldap pq ele me permite utilizar os grupos do ldap no caso o "grp-diretoria".
>>>
>>> Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em uma base openldap ? alguem pls da uma luz !!! rs...
>>>
>>> Abraços a todos e fico no aguardo de uma ajuda !!!
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br em centos.org
http://lists.centos.org/mailman/listinfo/centos-pt-br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20120113/f9aed53e/attachment.html
Mais detalhes sobre a lista de discussão CentOS-pt-br