[CentOS-pt-br] Samba 3.6.1 com openldap problema com direito nas pastas
fabiano stocco
fabianostocco em gmail.com
Sexta Janeiro 13 16:39:55 EST 2012
Opa
Vamos ao acesso remoto.
Passa os dados para meu email.
T+
Em 13 de janeiro de 2012 15:10, Gabriel O. Franca
<gabriel.franca em gmail.com> escreveu:
> Grande Fabiano,
>
> Então sobre a criação do usuario com o smbldap-useradd eu uso sim o -a.
>
> E sobre o gid não existe nenhum outro grupo com o 533.
>
> Dando mais um kdim de informação:
>
> eu criei um usuario no caso rafael, coloquei ele em alguns grupos no caso rh
> e financeiro.
>
> quando loguei ele teve acesso certinho as pastas que tinha direito e foi
> negado pra ele as pastas q ele não tem acesso (maravilha !!!).
>
> agora quando altero ele de grupo os direitos novos não são passados e o
> direito antigo persiste =\ (sera que o centos guarda algum tipo de cache
> maldito e fica usando ele ? ou será q ele guarda um cache e de tempo em
> tempo ele faz uma nova consulta ao ldap ? )
>
> Atenciosamente,
>
> Gabriel
>
> ________________________________
> De: "fabiano stocco" <fabianostocco em gmail.com>
> Para: "Portuguese (Brazilian) CentOS mailing list" <centos-pt-br em centos.org>
> Enviadas: Sexta-feira, 13 de Janeiro de 2012 14:50:48
>
> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com
> direito nas pastas
>
> Vamos tentar mais uma coisa antes do acesso.
> Quando adicionou o usuário ao ldap, usou os atributos do samba na
> adição? Consulte por favor os atributos do usuário gabriel por
> exemplo.
>
> #smbldap-useradd -a gabriel
>
> Outra coisa seria o gid do grupo em questão é o 533 e o mesmo é muito
> baixo. Consulta por favor o /etc/group se não existe outro grupo com
> esse id.
>
> Se continuar a não dar certo vamos a conexão remota.
>
> Abraço
>
> Fabiano Stocco
>
>
>
> Em 13 de janeiro de 2012 13:12, Gabriel O. Franca
> <gabriel.franca em gmail.com> escreveu:
>>
>> E ai meu rei !!
>>
>> mesmo problema =\
>>
>> # grp-diretoria, Grupos, cmc
>>
>> dn: cn=grp-diretoria,ou=Grupos,o=cmc
>> objectClass: top
>> objectClass: posixGroup
>> objectClass: sambaGroupMapping
>> cn: grp-diretoria
>> gidNumber: 533
>> sambaSID: S-1-5-21-1899205115-3332732915-2788258366-2067
>> sambaGroupType: 2
>> displayName: grp-diretoria
>> memberUid: gabriel
>> memberUid: cezar
>>
>> os 2 usuarios continuam sem acesso a pasta diretoria, agora pra apimentar
>> mais um pouco o problema eu criei outros grupos no caso grp-rh e coloquei o
>> meu usuario dentro desse grupo e a P@!$%$#$#%" do sistema libero o acesso
>> normalmente para esse usuario.
>>
>> pela analise que estou fazendo e como se o centos não fosse consultar a
>> base ldap em toda requisição e sim a um cache q nunca se atualiza, se eu
>> tiro um usuario q esta tendo acesso e movo ele pra outro grupo o usuario
>> continua tendo acesso a pasta q foi retirado e não tem acesso a pasta nova
>> que foi colocado.
>>
>> Bom vai entender né.
>>
>> Continuando com as pesquisas se pensar em algo diferente ou quiser ter
>> acesso a essa maquina de teste me avisa q monto um acesso pra ti assim fica
>> mais facil tentar achar o problema =D
>>
>> att
>>
>> Gabriel
>>
>>
>> ________________________________
>> De: "fabiano stocco" <fabianostocco em gmail.com>
>> Para: "Portuguese (Brazilian) CentOS mailing list"
>> <centos-pt-br em centos.org>
>> Enviadas: Sexta-feira, 13 de Janeiro de 2012 11:32:59
>>
>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com
>> direito nas pastas
>>
>> Opa..
>>
>> Acho que descobri seu problema. Quando vc adicionou o grupo no ldap o
>> mesmo não teve atributos do samba, como por exemplo objectClass:
>> sambaGroupMapping. Dessa forma o samba não mapeia o grupo vindo do ldap,
>> apenas é mapeado pelo linux ou sistemas que aceitam o posixGroup.
>>
>> Para solucionar tenta remover o grupo do ldap e adiciona-lo novamente da
>> seguinte forma.
>>
>> #smbldap-groupadd -a grp-diretoria
>>
>> Depois consulta a entrada no ldap para ver se o mesmo recebeu os atributos
>> do ldap.
>>
>> Uso o samba 3.5.6-86.el6_1.4.x86_64
>>
>> Atenciosamente.
>>
>> Em 13 de janeiro de 2012 10:40, Gabriel O. Franca
>> <gabriel.franca em gmail.com> escreveu:
>>>
>>> galera vou postar aqui o meu smb.conf.
>>>
>>> uma treta esquisita foi q ele o authconfig escreveu no meu smb.conf
>>>
>>> reparem que o que esta com ";" foi comentado direto pelo authconfig.
>>>
>>> [global]
>>> #--authconfig--start-line--
>>>
>>> # Generated by authconfig on 2012/01/12 15:45:28
>>> # DO NOT EDIT THIS SECTION (delimited by --start-line--/--end-line--)
>>> # Any modification may be deleted or altered by authconfig in future
>>>
>>> workgroup = CMC
>>> security = ads
>>> idmap uid = 16777216-33554431
>>> idmap gid = 16777216-33554431
>>> template shell = /sbin/nologin
>>> winbind use default domain = false
>>> winbind offline logon = false
>>>
>>> #--authconfig--end-line--
>>> #Dominio, Nome e Descricao
>>> ; workgroup = CMC
>>> netbios name = LX-CMC-SMB
>>> server string = Servidor de Arquivos
>>>
>>> #Nao mostrar no servidor o wizard "Adicionar Impressora"
>>> show add printer wizard = No
>>> printing = cups
>>> printcap name = cups
>>> load printers = yes
>>>
>>> #Quais interfaces de rede Utilizar
>>> interfaces = lo, eth0
>>> bind interfaces only = yes
>>>
>>> #Configuracao wins
>>> wins support = yes
>>> # wins proxy = yes
>>> # wins server = yes
>>>
>>> #Nivel de Mensagens
>>> log level = 3
>>> log file = /var/log/samba/log.%U
>>> max log size = 50
>>> debug level = 1
>>> syslog = 0
>>> #Atuar como um Servidor de Dominio
>>> ; security = user
>>> ; domain logons = yes
>>> preferred master = yes
>>> os level = 90
>>>
>>> #Atuar como um PDC - caso seja BDC altere para "no"
>>> ; domain master = yes
>>>
>>> #Tratamento das senhas
>>> encrypt passwords = yes
>>>
>>> #Equivalencia de usuarios Windows x Linux
>>> username map = /etc/samba/smbusers
>>>
>>> #Evitar o perfil ambulante do Windows NT/XP
>>> logon path =
>>> logon drive =
>>> logon home =
>>>
>>> #Script de logon em rede (deve ficar no compartilhamento netlogon
>>> - em formato DOS)
>>> logon script = logon.bat
>>>
>>> #Configuracoes para o LDAP
>>> passdb backend = ldapsam:ldap://127.0.0.1
>>> ldap passwd sync = yes
>>> ldap delete dn = yes
>>> ldap ssl = no
>>> ldap admin dn = cn=admin,o=cmc
>>> ldap suffix = o=cmc
>>> ldap machine suffix = ou=Computadores
>>> ldap user suffix = ou=Usuarios
>>> ldap group suffix = ou=Grupos
>>> ldap idmap suffix = ou=Idmap
>>> # idmap backend = ldap:ldap://127.0.0.1
>>> # idmap uid = 10000-2000 # idmap gid = 10000-20000
>>> idmap config * : backend = ldap
>>> idmap config * : range = 10000-20000
>>>
>>> #Permitir que usuarios do grupo "Administrador do Dominio" possam
>>> ingressar maquinas winxp e nt ao dominio samba
>>> ##enable privileges = yes
>>>
>>> #Scripts utilizados para Gerenciar Usuarios da Microsoft
>>> add user script = /usr/sbin/smbldap-useradd -m "%u"
>>> delete user script = /usr/sbin/smbldap-userdel "%u"
>>>
>>> #adicionar e remover Grupos
>>> add group script = /usr/sbin/smbldap-groupadd -p "%g"
>>> delete group script = /usr/sbin/smbldap-groupdel "%g"
>>>
>>> #Scripts para adicionar e remover usuarios nos grupos
>>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u"
>>> "%g"
>>> delete user from group script = /usr/sbin/smbldap-groupmod -x
>>> "%u" "%g"
>>>
>>> #Script para definir o grupo primario do usuario
>>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>>
>>> #Script para adicionar maquina Win NT e XP ingressar no dominio
>>> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>>>
>>> #Otimizacoes recomendadas
>>> smb ports = 445 139
>>> name resolve order = lmhosts host wins bcast
>>> utmp = yes
>>> time server = yes
>>> ; template shell = /bin/false
>>> ; winbind use default domain = no
>>> map acl inherit = yes
>>> strict locking = yes
>>> ## store dos attributes = yes
>>>
>>> #Como o cliente ira se comunicar com o servidor
>>> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>>>
>>> #Ativar a internacionalizacao: permitir caracteres acentuados
>>> pelo windows
>>> dos charset = CP850
>>> unix charset = ISO8859-1
>>>
>>> # nao tentar fazer um lock nestes arquivos
>>> veto files =
>>> /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>>> veto oplock files =
>>> /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>>> # nao tentar fazer um lock nestes arquivos
>>> veto files =
>>> /*.eml/*.mp3/*.avi/*.mpeg/*.mpg/*.wma/*.wmv/*.nws/*.{*}/
>>> veto oplock files =
>>> /*.doc/*.xls/*.mdb/*.docx/*.DOC/*.DOCX/*.XLSX/*.xlsx/*.rtf/*.RTF/
>>>
>>> # Tratar os arquivos que comecam com "." como ocultos para
>>> maquinas Windows
>>> hidedotfiles = yes
>>>
>>> #administradores do samba
>>> admin users = suporte
>>>
>>> #Auditoria de Arquivos
>>> vfs objects = full_audit recycle
>>> full_audit:success = open, opendir, write, unlink, rename, mkdir,
>>> rmdir, chmod, chown
>>> full_audit:prefix = %u|%I|%S
>>> full_audit:failure = none
>>> full_audit:facility = local5
>>> full_audit:priority = notice
>>>
>>> #Lixeira individual
>>> recycle:keeptree = yes
>>> recycle:versions = yes
>>> recycle:repository = /dados/trash/%U
>>> recycle:exclude = *.tmp, *.log, *.obj, ~*.*, *.bak, *.iso
>>> recycle:exclude_dir = tmp, cache
>>>
>>> #=============================
>>> #===== Compartilhamentos =====
>>> #=============================
>>>
>>>
>>> [netlogon]
>>> comment = Servico de Logon em Rede [ logon.bat ]
>>> path = /dados/scripts/
>>> browseable = yes
>>> read only = yes
>>> [home]
>>> comment = Diretorio Pessoal de Cada Usuario
>>> path = /dados/users/%u
>>> browseable = no
>>> writeable = yes
>>> create mask = 0700
>>> directory mask = 0700
>>> [dpto]
>>> comment = Pasta Departamental
>>> path = /dados/dpto
>>> writeable = yes
>>> force create mode = 0775
>>> force directory mode = 0775
>>>
>>> [share]
>>> comment = Pasta Compartilhada
>>> path = /dados/share
>>> writeable = yes
>>> force create mode = 2777
>>> force directory mode = 2777
>>>
>>> [sistema]
>>> comment = Sistemas [ G:\ ]
>>> path = /dados/sistemas
>>> writeable = yes
>>> force create mode = 2777
>>> force directory mode = 2777
>>>
>>> [lixeira]
>>> path = /dados/lixeira/%U
>>> writable = yes
>>>
>>> ________________________________
>>> De: "fabiano stocco" <fabianostocco em gmail.com>
>>> Para: "Portuguese (Brazilian) CentOS mailing list"
>>> <centos-pt-br em centos.org>
>>> Enviadas: Quinta-feira, 12 de Janeiro de 2012 19:09:28
>>> Assunto: Re: [CentOS-pt-br] Samba 3.6.1 com openldap problema com
>>> direito nas pastas
>>>
>>> Opá
>>>
>>> Tenho um PDC rodando com Centos 6.1 mais deve ser a mesma regra para o
>>> centos 6.2. Quando fui coloca para rodar tive problemas com o Selinux, com
>>> isso verifique se o mesmo esta habilitado, se estiver tenta colocar em modo
>>> permissivo.
>>>
>>> Se der certo olhe as opções abaixo algumas delas deve estar lhe travando.
>>>
>>> [root em local ~]# getsebool -a | grep samba
>>> samba_create_home_dirs --> off
>>> samba_domain_controller --> off
>>> samba_enable_home_dirs --> off
>>> samba_export_all_ro --> off
>>> samba_export_all_rw --> off
>>> samba_run_unconfined --> off
>>> samba_share_fusefs --> off
>>> samba_share_nfs --> off
>>> use_samba_home_dirs --> off
>>> virt_use_samba --> off
>>>
>>> Comando para alterar a politica do selinux é o
>>> [root em local ~]# setsebool -P samba_export_all_rw on
>>>
>>> Outra coisa que mudou entre o Centos 5 e o 6 é o gerenciador de
>>> autenticação que saiu do pam_ldap e foi para o sssd. Pode ter alguma
>>> configuração extra com o sssd.
>>>
>>> Mais uma coisa seria a ACL se estiver usando utilize o comando abaixo
>>> para verificação da permissão real da pasta.
>>> [root em local ~]# getfacl diretoria
>>>
>>> Fabiano Stocco
>>>
>>> Em 12 de janeiro de 2012 16:43, Gabriel Franca <gabriel.franca em gmail.com>
>>> escreveu:
>>>>
>>>> Boa Tarde a todos,
>>>>
>>>> Estou com um pequeno problema relacionado a autenticação do centos 6.2
>>>> no openldap.
>>>>
>>>> segue alguns dados.
>>>>
>>>> centos 6.2 (maquina de teste 32 bits)
>>>> openldap 2.4.23-20.el6
>>>> samba3-3.6.1-44.el6
>>>>
>>>> bom vamos ao problema eu uso o samba autenticando no openldap e esta
>>>> funcionando di boa as estações estão entrando no dominio o problema que está
>>>> acontecendo agora e relacionado a direitos nas pastas.
>>>>
>>>> EX: pasta diretoria
>>>>
>>>> grupo ldap dono grp-diretoria
>>>> direito na pasta 2770
>>>>
>>>> coloco um usuario dentro do grupo atraves do ldap account manager do o
>>>> comando ldapsearch -x e olho q no grupo o usuario está lah dentro
>>>>
>>>> grp-diretoria, Grupos, cmc
>>>> dn: cn=grp-diretoria,ou=Grupos,o=cmc
>>>> objectClass: top
>>>> objectClass: posixGroup
>>>> cn: grp-diretoria
>>>> gidNumber: 533
>>>> memberUid: gabriel
>>>>
>>>> reparem os direitos da pasta
>>>>
>>>> drwxrws--- 2 root grp-diretoria 4096 Jan 12 13:59 diretoria
>>>>
>>>>
>>>> e quando tento acessar tomo acesso negado na lata =\
>>>>
>>>> para colocar o Centos para usar a autenticação ldap eu utilizo o comando
>>>> authconfig-tui.
>>>>
>>>> na versão Centos 5.x funciona tranquilamente essa autenticação agora no
>>>> 6.X está dando essa falta de direito.
>>>>
>>>> Agora o q me deixa com um nó na cabeça e que o Centos 6.X está
>>>> autenticando na base ldap pq ele me permite utilizar os grupos do ldap no
>>>> caso o "grp-diretoria".
>>>>
>>>> Alguem já passou por isso ? alguem utiliza o Centos 6.X autenticando em
>>>> uma base openldap ? alguem pls da uma luz !!! rs...
>>>>
>>>> Abraços a todos e fico no aguardo de uma ajuda !!!
>>>> _______________________________________________
>>>> CentOS-pt-br mailing list
>>>> CentOS-pt-br em centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>>
>>>
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>>
>>> _______________________________________________
>>> CentOS-pt-br mailing list
>>> CentOS-pt-br em centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>>
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
>>
>> _______________________________________________
>> CentOS-pt-br mailing list
>> CentOS-pt-br em centos.org
>> http://lists.centos.org/mailman/listinfo/centos-pt-br
>>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> http://lists.centos.org/mailman/listinfo/centos-pt-br
>
Mais detalhes sobre a lista de discussão CentOS-pt-br