Permissão grupo

13. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 11/02/2018 - 23:21h

lcavalheiro escreveu:

Os usuários windows precisam de usuários no server samba, obviamente você fez essa parte. Você atribuiu aos usuários no server samba os grupos corretos, obviamente você fez essa parte. Você atribuiu as propriedades de grupo nos diretórios do server samba aos grupos corretos?

Sim, foi como mostrei, um grupo criado no samba e outro no linux, ambos com mesmo nome permissões 775, o smb.conf referidos, usam + ao invés do @, isso deve provar o quão ultrapassado meu samba está, kk. Não sei mas nada, nem ideia :/
Comandos usados:
useradd
passwd
groupadd
gpasswd
samba-tool
smbpasswd

Algo que diz bastante a respeito disso, se realmente fazem parte, vejam a seguir:
# id leda
uid=562(leda) gid=567(leda) grupos=567(leda),568(exatas)

Para apurar o diagnóstico kk :/
Desconfio da forma como entrei no domínio; ingressei como a conta de administrator, para logo em seguida entrar como um usuário do samba, talvez não seja o certo, deveria alterar algo como administrator antes, e o winbind? pouco sei sobre ele, não o configurei, o que vocês me dizem, será necessário? De qualquer modo estou aceitando sujestões , toda ajuda é bem-vinda, gracias!

0 0

Quote

14. Re: Permissão grupo

Mauriciodez
(usa Debian)

Enviado em 11/02/2018 - 23:47h

ManuOnline escreveu:
Desconfio da forma como entrei no domínio; ingressei como a conta de administrator, para logo em seguida entrar como um usuário do samba, talvez não seja o certo, deveria alterar algo como administrator antes, e o winbind? pouco sei sobre ele, não o configurei, o que vocês me dizem, será necessário? De qualquer modo estou aceitando sujestões , toda ajuda é bem-vinda, gracias!

posta aí

cat /etc/group | grep exatas

poste um "ls -la" do seu compartilhamento

poste todo o smb.conf

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------

0 0

Quote

15. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 12/02/2018 - 01:35h

Esta seria a pasta principal:

drwxr-xr-x 6 root          root          4096 Fev 11 03:43 senac

# ls -la /home/senac/

total 24

drwxr-xr-x   6 root          root          4096 Fev 11 03:43 .

drwxr-xr-x. 83 root          root          4096 Fev  8 23:31 ..

drwxr-xr-x   2 Administrator Administrator 4096 Fev  6 20:54 Administrator

drwxrwxr-x   3 root          exatas        4096 Fev 12 01:13 exatas

drwxrwxr-x   6 root          Humanas       4096 Fev  9 19:21 humanas

drwxrwxr-x   3 root          publica       4096 Fev 11 23:34 publica

Pasta compartilhada, exatas...

# ls -la exatas/

total 12

drwxrwxr-x 3 root exatas 4096 Fev 12 01:02 .

drwxr-xr-x 6 root root   4096 Fev 11 03:43 ..

drwxrwxr-x 2 root redes  4096 Fev 12 01:02 redes

Linux:

# cat /etc/group | grep exatas

exatas:x:568:veneno,leda

Para acrescentar:

# /usr/local/samba/bin/samba-tool group listmembers exatas

veneno

luana

leda

smb.conf:

[global]

        workgroup = BLUELIGHT

        realm = BLUELIGHT.BR

        netbios name = AZL

        server role = active directory domain controller

        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate

        idmap_ldb:use rfc2307 = yes

;       dns forwarder = 192.168.1.7

;       ntlm auth = yes

;       security = user

;       hosts allow = ALL

;       log file = /var/log/samba.%m

;       interfaces =  192.168.1.7

        domain master = yes

;       domain logons = yes

;       local master = yes

;       admin users = azl

;       wins support = yes

        logon home = \\adm\home\senac\

;       preferred master = yes

        admin users = root

[netlogon]

        path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts

        read only = No

[sysvol]

        path = /usr/local/samba/var/locks/sysvol

        read only = No



[humanas]

        comment = compartilha com alunos de humanas

        path = /home/senac/humanas/%U

        write list = @Humanas, luana

        directory mask = 0700

        force create mode = 777

        force directory mode = 777

        browseable = yes

        valid users = @Humanas, @exatas, luana

        writable = yes



[redes]

        path = /home/senac/exatas/redes/

        browseable = yes

        valid users =  @redes

        force group = @redes

        create mask = 0770

        writeable = yes

        directory mask = 0770

[publica]

        path = /home/senac/publica

        browseable = yes

        writable = yes

        public = yes

        guest ok = yes



[homes]

        path = /home/%U

        writeable = yes

        valid users = %U

        read only = no

        guest ok = yes

        force create mode = 0750

        force directory mode = 0750

        create mask = 0700

        directory mask = 0700

        browseable = no

[exatas]

        comment = compartilha com exatas

        path = /home/senac/exatas/

        writable = yes

        browseable = yes

        write list = @exatas, leda

        valid users = @exatas, leda

        directory mask = 0770

        force create mode = 770

        force directory mode = 770

0 0

Quote

16. Re: Permissão grupo

Mauriciodez
(usa Debian)

Enviado em 12/02/2018 - 13:53h

ManuOnline escreveu:
Esta seria a pasta principal:
...

Olha só ... peguei seu smb.conf e coloquei aqui, funcionou de boa, as linhas que eu não precisava eu comentei

[global]

workgroup = bluelight

#realm = BLUELIGHT.BR

netbios name = phantom

#server role = active directory domain controller

#server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate

#idmap_ldb:use rfc2307 = yes

#dns forwarder = 192.168.1.7

#ntlm auth = yes

security = user

#hosts allow = ALL

log file = /var/log/samba.%m

#interfaces =  192.168.1.7

#domain master = yes

#domain logons = yes

#local master = yes

#admin users = azl

#wins support = yes

#logon home = \\adm\home\senac\

#preferred master = yes

#admin users = root

#[netlogon]

#path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts

#read only = No

#[sysvol]

#path = /usr/local/samba/var/locks/sysvol

#read only = No

#

#[humanas]

#comment = compartilha com alunos de humanas

#path = /home/senac/humanas/%U

#write list = @Humanas, luana

#directory mask = 0700

#force create mode = 777

#force directory mode = 777

#browseable = yes

#valid users = @Humanas, @exatas, luana

#writable = yes

#

#[redes]

#path = /home/senac/exatas/redes/

#browseable = yes

#valid users =  @redes

#force group = @redes

#create mask = 0770

#writeable = yes

#directory mask = 0770

#[publica]

#path = /home/senac/publica

#browseable = yes

#writable = yes

#public = yes

#guest ok = yes

#

#[homes]

#path = /home/%U

#writeable = yes

#valid users = %U

#read only = no

#guest ok = yes

#force create mode = 0750

#force directory mode = 0750

#create mask = 0700

#directory mask = 0700

#browseable = no

[exatas]

comment = compartilha com exatas

path = /home/senac/exatas/

writable = yes

#browseable = yes

#write list = @exatas, leda

valid users = +exatas

#directory mask = 0770

#force create mode = 770

#force directory mode = 770

public = yes

estrutura do compartilhamento

root@phantom /home/senac # ls -la

total 12

drwxr-xr-x 3 root root   4096 Fev 12 11:30 .

drwxr-xr-x 7 root root   4096 Fev 12 12:52 ..

drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas

na minha VM com win7 eu loguei com eu usuário normal e quando acessei a rede acessei com "leda + senha"

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------

1 0

Quote

17. Re: Permissão grupo

removido
(usa Nenhuma)

Enviado em 12/02/2018 - 20:18h

ManuOnline escreveu:

Esta seria a pasta principal:

drwxr-xr-x 6 root          root          4096 Fev 11 03:43 senac

# ls -la /home/senac/

total 24

drwxr-xr-x   6 root          root          4096 Fev 11 03:43 .

drwxr-xr-x. 83 root          root          4096 Fev  8 23:31 ..

drwxr-xr-x   2 Administrator Administrator 4096 Fev  6 20:54 Administrator

drwxrwxr-x   3 root          exatas        4096 Fev 12 01:13 exatas

drwxrwxr-x   6 root          Humanas       4096 Fev  9 19:21 humanas

drwxrwxr-x   3 root          publica       4096 Fev 11 23:34 publica

Pasta compartilhada, exatas...

# ls -la exatas/

total 12

drwxrwxr-x 3 root exatas 4096 Fev 12 01:02 .

drwxr-xr-x 6 root root   4096 Fev 11 03:43 ..

drwxrwxr-x 2 root redes  4096 Fev 12 01:02 redes

Linux:

# cat /etc/group | grep exatas

exatas:x:568:veneno,leda

Para acrescentar:

# /usr/local/samba/bin/samba-tool group listmembers exatas

veneno

luana

leda

smb.conf:

[global]

        workgroup = BLUELIGHT

        realm = BLUELIGHT.BR

        netbios name = AZL

        server role = active directory domain controller

        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate

        idmap_ldb:use rfc2307 = yes

;       dns forwarder = 192.168.1.7

;       ntlm auth = yes

;       security = user

;       hosts allow = ALL

;       log file = /var/log/samba.%m

;       interfaces =  192.168.1.7

        domain master = yes

;       domain logons = yes

;       local master = yes

;       admin users = azl

;       wins support = yes

        logon home = \\adm\home\senac\

;       preferred master = yes

        admin users = root

[netlogon]

        path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts

        read only = No

[sysvol]

        path = /usr/local/samba/var/locks/sysvol

        read only = No



[humanas]

        comment = compartilha com alunos de humanas

        path = /home/senac/humanas/%U

        write list = @Humanas, luana

        directory mask = 0700

        force create mode = 777

        force directory mode = 777

        browseable = yes

        valid users = @Humanas, @exatas, luana

        writable = yes



[redes]

        path = /home/senac/exatas/redes/

        browseable = yes

        valid users =  @redes

        force group = @redes

        create mask = 0770

        writeable = yes

        directory mask = 0770

[publica]

        path = /home/senac/publica

        browseable = yes

        writable = yes

        public = yes

        guest ok = yes



[homes]

        path = /home/%U

        writeable = yes

        valid users = %U

        read only = no

        guest ok = yes

        force create mode = 0750

        force directory mode = 0750

        create mask = 0700

        directory mask = 0700

        browseable = no

[exatas]

        comment = compartilha com exatas

        path = /home/senac/exatas/

        writable = yes

        browseable = yes

        write list = @exatas, leda

        valid users = @exatas, leda

        directory mask = 0770

        force create mode = 770

        force directory mode = 770

exatas:x:568:veneno,leda OK

Somente leda tem acesso de leitura e escrita na pasta /home/senac/exatas/ .Os demais usuários que estão no grupo exatas tem acesso somente leitura o resto sem acesso.

[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
available = yes
browseable = yes
write list = leda
valid users = @exatas
directory mask = 0770
force create mode = 770
force directory mode = 770

-------------------------------------------------------------------------------------

# writable = yes : O compartilhamento fica disponível para leitura e escrita.
# writable = no : o compartilhamento fica disponível para somente leitura.

Obs: Ser o @ não funcionar coloca o +

reinicia o samba

/etc/init.d/samba restart

testparm

smbstatus

1-

# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/

2-

Como esta o Firewall e SELinux?

http://www.hardware.com.br/guias/fedora/firewall-selinux.html

3-

O ideal seria 750.

4-

cat /var/log/samba/samba.log

5- Quer usar o samba com PDC?

$ man samba

-------------------------------------------------------------------------
E aí pessoal? Tudo mais ou menos?

TV de Plasma de 42 polegadas? Eu Sempre quis ter uma TV assim.

HD hein! tá novinho, perfeitos, Eu Sempre quis ter um HD assim.

1 0

Quote

18. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 12/02/2018 - 22:35h

Caramba! Mauriciodez, consegues dentro da pasta exatas criar arquivos e editar?
Quando determino para outros nenhum direito, nem sequer posso acessar as pastas, é como, só importasse o direito que dou à outros que são válidos, assim como vc fez abaixo eu fico restringido até mesmo a entrar na pasta, como explicado. Apesar de estar usando winxp para acesso, também estou logando pelo linux através do nautilus.
Mauriciodez:

drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas

meianoite:

[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
available = yes
browseable = yes
write list = leda
valid users = @exatas
directory mask = 0770
force create mode = 770
force directory mode = 770

Gostei desta maneira; separando, apliquei, reiniciei, com menção ao grupo usando, ora com @ ora com +,

#testparm, mostra mais coisas mesmo que não foram setadas no smb.conf manualmente, meio ocultas.
Algo que não pus em evidência; estou usando BIND9_DLZ.

# /usr/local/samba/bin/testparm 

Load smb config files from /usr/local/samba/etc/smb.conf

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)

Processing section "[netlogon]"

Processing section "[sysvol]"

Processing section "[humanas]"

Processing section "[redes]"

Processing section "[publica]"

Processing section "[homes]"

Processing section "[exatas]"

Loaded services file OK.

Server role: ROLE_ACTIVE_DIRECTORY_DC

[global]

	workgroup = BLUELIGHT

	realm = BLUELIGHT.BR

	server role = active directory domain controller

	passdb backend = samba_dsdb

	logon home = \\adm\home\senac;	preferred master = yes

	domain master = Yes

	server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate

	rpc_server:tcpip = no

	rpc_daemon:spoolssd = embedded

	rpc_server:spoolss = embedded

	rpc_server:winreg = embedded

	rpc_server:ntsvcs = embedded

	rpc_server:eventlog = embedded

	rpc_server:srvsvc = embedded

	rpc_server:svcctl = embedded

	rpc_server:default = external

	winbindd:use external pipes = true

	idmap_ldb:use rfc2307 = yes

	idmap config * : backend = tdb

	admin users = root

	map archive = No

	map readonly = no

	store dos attributes = Yes

	vfs objects = dfs_samba4 acl_xattr

#smbstatus:

# /usr/local/samba/bin/smbstatus 



Samba version 4.3.1

PID     Username      Group         Machine            Protocol Version       

------------------------------------------------------------------------------

20909     3000029       users         192.168.1.3  (ipv4:192.168.1.3:60032) Unknown (0x0311)

20907     nobody        3000009       allan        (ipv4:192.168.1.3:44984) Unknown (0x0311)

21021     3000029       users         192.168.1.5  (ipv4:192.168.1.5:1754) NT1         



Service      pid     machine       Connected at

-------------------------------------------------------

exatas       20909   192.168.1.3   Mon Feb 12 21:05:50 2018

IPC$         20907   allan         Mon Feb 12 21:05:49 2018

exatas       21021   192.168.1.5   Mon Feb 12 22:07:09 2018

publica      21021   192.168.1.5   Mon Feb 12 22:07:53 2018

IPC$         21021   192.168.1.5   Mon Feb 12 22:07:07 2018



Locked files:

Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time

--------------------------------------------------------------------------------------------------

21021        3000029    DENY_NONE  0x100081    RDONLY     NONE             /home/senac/publica   .   Mon Feb 12 22:07:53 2018

1-

# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/

[root@azl senac]# chown -R leda:exatas /home/senac/exatas/

[root@azl senac]# chmod -R 750 /home/senac/exatas/

[root@azl senac]# ls -l /home/senac/exatas/

total 8

drwxr-x--- 2 leda exatas 4096 Fev 12 01:02 redes

-rwxr-x--- 1 leda exatas 1765 Fev 12 01:13 smb

2-

Como esta o Firewall e SELinux?

iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination  



# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

http://www.hardware.com.br/guias/fedora/firewall-selinux.html

# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing - SELinux security policy is enforced.

#     permissive - SELinux prints warnings instead of enforcing.

#     disabled - No SELinux policy is loaded.

SELINUX=disabled

# SELINUXTYPE= can take one of these two values:

#     targeted - Targeted processes are protected,

#     mls - Multi Level Security protection.

SELINUXTYPE=targeted

3-

O ideal seria 750.

Neste caso, só teria como ler e executar, era como já estava, não pelo fato do grupo ter 7 anteriormente, mas sim pelo poder que outros tinham , 5... pois as permissões, não entendo porque, em meu samba só estão tendo efeito baseados em permissão para outros, minha necessidade é ter escrita também.

4-

cat /var/log/samba/samba.log

# cat /var/log/samba.

samba.__1              samba.192.168.1.10     samba.192.168.1.2      samba.192.168.1.5      samba.192.168.1.8      samba.allan-da1814928  samba.azl              samba.senac            samba.winbindd

samba.127.0.0.1        samba.192.168.1.13     samba.192.168.1.201    samba.192.168.1.6      samba.allan            samba.allan-pc         samba.%m               samba.smbd

Editado: Julguei sem importante o arquivo criado no smb para log ser preciso,

# tail -f /var/log/samba.%m

[2018/02/12 22:59:06.866626,  0] ../source4/smbd/server.c:372(binary_smbd_main)

  samba version 4.3.1 started.

  Copyright Andrew Tridgell and the Samba Team 1992-2015

[2018/02/12 22:59:07.205936,  0] ../source4/smbd/server.c:490(binary_smbd_main)

  samba: using 'standard' process model

[2018/02/12 22:59:07.228930,  0] ../lib/util/become_daemon.c:124(daemon_ready)

  STATUS=daemon 'samba' finished starting up and ready to serve connections

5- Quer usar o samba com PDC?

Como AD.

Aqui é algo que julgo ser importante:

# ls -l /home/ | grep leda
drwx------ 2 leda leda 4096 Fev 8 23:31 leda

Ainda assim, tudo está como antes, nenhuma alteração, lembrando que "write list = leda" dessa forma exclusiva, não da resultados.

1 0

Quote

19. Re: Permissão grupo

removido
(usa Nenhuma)

Enviado em 13/02/2018 - 00:01h

ManuOnline escreveu:

Caramba! Mauriciodez, consegues dentro da pasta exatas criar arquivos e editar?
Quando determino para outros nenhum direito, nem sequer posso acessar as pastas, é como, só importasse o direito que dou à outros que são válidos, assim como vc fez abaixo eu fico restringido até mesmo a entrar na pasta, como explicado. Apesar de estar usando winxp para acesso, também estou logando pelo linux através do nautilus.
Mauriciodez:

drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas

meianoite:

# /usr/local/samba/bin/testparm 

Load smb config files from /usr/local/samba/etc/smb.conf

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)

Processing section "[netlogon]"

Processing section "[sysvol]"

Processing section "[humanas]"

Processing section "[redes]"

Processing section "[publica]"

Processing section "[homes]"

Processing section "[exatas]"

Loaded services file OK.

Server role: ROLE_ACTIVE_DIRECTORY_DC

[global]

	workgroup = BLUELIGHT

	realm = BLUELIGHT.BR

	server role = active directory domain controller

	passdb backend = samba_dsdb

	logon home = \\adm\home\senac;	preferred master = yes

	domain master = Yes

	server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate

	rpc_server:tcpip = no

	rpc_daemon:spoolssd = embedded

	rpc_server:spoolss = embedded

	rpc_server:winreg = embedded

	rpc_server:ntsvcs = embedded

	rpc_server:eventlog = embedded

	rpc_server:srvsvc = embedded

	rpc_server:svcctl = embedded

	rpc_server:default = external

	winbindd:use external pipes = true

	idmap_ldb:use rfc2307 = yes

	idmap config * : backend = tdb

	admin users = root

	map archive = No

	map readonly = no

	store dos attributes = Yes

	vfs objects = dfs_samba4 acl_xattr

#smbstatus:

# /usr/local/samba/bin/smbstatus 



Samba version 4.3.1

PID     Username      Group         Machine            Protocol Version       

------------------------------------------------------------------------------

20909     3000029       users         192.168.1.3  (ipv4:192.168.1.3:60032) Unknown (0x0311)

20907     nobody        3000009       allan        (ipv4:192.168.1.3:44984) Unknown (0x0311)

21021     3000029       users         192.168.1.5  (ipv4:192.168.1.5:1754) NT1         



Service      pid     machine       Connected at

-------------------------------------------------------

exatas       20909   192.168.1.3   Mon Feb 12 21:05:50 2018

IPC$         20907   allan         Mon Feb 12 21:05:49 2018

exatas       21021   192.168.1.5   Mon Feb 12 22:07:09 2018

publica      21021   192.168.1.5   Mon Feb 12 22:07:53 2018

IPC$         21021   192.168.1.5   Mon Feb 12 22:07:07 2018



Locked files:

Pid          Uid        DenyMode   Access      R/W        Oplock           SharePath   Name   Time

--------------------------------------------------------------------------------------------------

21021        3000029    DENY_NONE  0x100081    RDONLY     NONE             /home/senac/publica   .   Mon Feb 12 22:07:53 2018

1-

# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/

[root@azl senac]# chown -R leda:exatas /home/senac/exatas/

[root@azl senac]# chmod -R 750 /home/senac/exatas/

[root@azl senac]# ls -l /home/senac/exatas/

total 8

drwxr-x--- 2 leda exatas 4096 Fev 12 01:02 redes

-rwxr-x--- 1 leda exatas 1765 Fev 12 01:13 smb

2-

Como esta o Firewall e SELinux?

iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination  



# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

http://www.hardware.com.br/guias/fedora/firewall-selinux.html

# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     enforcing - SELinux security policy is enforced.

#     permissive - SELinux prints warnings instead of enforcing.

#     disabled - No SELinux policy is loaded.

SELINUX=disabled

# SELINUXTYPE= can take one of these two values:

#     targeted - Targeted processes are protected,

#     mls - Multi Level Security protection.

SELINUXTYPE=targeted

3-

O ideal seria 750.

4-

cat /var/log/samba/samba.log

# cat /var/log/samba.

samba.__1              samba.192.168.1.10     samba.192.168.1.2      samba.192.168.1.5      samba.192.168.1.8      samba.allan-da1814928  samba.azl              samba.senac            samba.winbindd

samba.127.0.0.1        samba.192.168.1.13     samba.192.168.1.201    samba.192.168.1.6      samba.allan            samba.allan-pc         samba.%m               samba.smbd

Editado: Julguei sem importante o arquivo criado no smb para log ser preciso,

# tail -f /var/log/samba.%m

[2018/02/12 22:59:06.866626,  0] ../source4/smbd/server.c:372(binary_smbd_main)

  samba version 4.3.1 started.

  Copyright Andrew Tridgell and the Samba Team 1992-2015

[2018/02/12 22:59:07.205936,  0] ../source4/smbd/server.c:490(binary_smbd_main)

  samba: using 'standard' process model

[2018/02/12 22:59:07.228930,  0] ../lib/util/become_daemon.c:124(daemon_ready)

  STATUS=daemon 'samba' finished starting up and ready to serve connections

5- Quer usar o samba com PDC?

A principio esta tudo ok, write list = leda deveria da resultado .

As configurações do samba como AD é outra em relação ao smb.conf normal.

Sugiro:

1- Testar esse cenário em outra distro como: Slackware, Mint, Ubuntu ou Debian
2- Usar uma maquina virtual com uma instalação do fedora limpa e atualizada.

Obs: Já tive problema com Samba depois da atualização do Debian 8 para 9, não restart e nem start.
Não tenho problema no Slackware com Samba dentro das pastas posso criar arquivos e editar normalmente.

3- É importante remove [homes] do smb.conf um ";" já resolve o problema.

4- Usa um smb.conf normal sem ser AD e refaz os procedimentos na VM ou em outra distro.

5- Quando os usuários loga no domínio tem alguma mensagem de erro?

Como esta não tem como sabe ser é algo relacionado ao sistema ou ao samba no Fedora.

1 0

Quote

20. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 13/02/2018 - 02:32h

Nenhuma mensagem de erro quando usuários win entram, tudo normal, mas ao tentar entrar em uma pasta como exatas, é advertido que devo consultar o adminstrador e no nautilus diz que tenho permissão negada.

É pessoal, tem mais jeito não, gostaria de saber qual versão do samba dos senhores? Irei recomeçar, fiz uma compilação do 4.3.1, até gostaria de desfazer tudo, mas sem ideias de como, então vou começar uma nova :/
Eu tenho uma negação com debian, neste samba usei centos como já devem ter notado, obg por toda ajuda!

0 0

Quote

21. Re: Permissão grupo

Mauriciodez
(usa Debian)

Enviado em 13/02/2018 - 11:51h

ManuOnline escreveu:

Nenhuma mensagem de erro quando usuários win entram, tudo normal, mas ao tentar entrar em uma pasta como exatas, é advertido que devo consultar o adminstrador e no nautilus diz que tenho permissão negada.

É pessoal, tem mais jeito não, gostaria de saber qual versão do samba dos senhores? Irei recomeçar, fiz uma compilação do 4.3.1, até gostaria de desfazer tudo, mas sem ideias de como, então vou começar uma nova :/
Eu tenho uma negação com debian, neste samba usei centos como já devem ter notado, obg por toda ajuda!

pra que vc compilou o samba, o fedora não tem ele nos repositórios ?
eu uso aqui o 4.2 ( padrão do Debian jessie ).
Quanto a começar tudo de novo ... isso já te foi sugerido, não sei pq vc ainda não refez !!

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------

0 0

Quote

22. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 13/02/2018 - 17:34h

Mauriciodez escreveu:

Pois é, eu gostaria, pq é bem mais prático e funcional também, mas são as exigências chatas das quais são, usar: centos ou debian. Usar AD e a regra é ser compilado num ambiente virtual :/
Não irão acreditar. Nesta noite, com muita força de vontade instalei uma versão mais atualizada 4.4.0 , e acreditem se quiserem, o mesmo problema. Será que problema esta em usar BIND9_DLZ, deve ser necessário mexer em zonas? Vejam bem os arquivos:

named.conf

options {

	tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";

	listen-on port 53 { 127.0.0.1;any; };

//	listen-on-v6 port 53 { ::1; };

	directory 	"/var/named";

	dump-file 	"/var/named/data/cache_dump.db";

        statistics-file "/var/named/data/named_stats.txt";

        memstatistics-file "/var/named/data/named_mem_stats.txt";

	allow-query     { localhost;any; };

	recursion yes;



	dnssec-enable yes;

	dnssec-validation yes;



	/* Path to ISC DLV key */

	bindkeys-file "/etc/named.iscdlv.key";



	managed-keys-directory "/var/named/dynamic";

};



logging {

        channel default_debug {

                file "data/named.run";

                severity dynamic;

        };

};



zone "." IN {

	type hint;

	file "named.ca";

};



include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

include "/usr/local/samba/private/named.conf";

Testes:

[root@azl ~]# host -t SRV _ldap._tcp.bluelight.br

_ldap._tcp.bluelight.br has SRV record 0 100 389 azl.bluelight.br.

[root@azl ~]# host -t SRV _kerberos._udp.bluelight.br

_kerberos._udp.bluelight.br has SRV record 0 100 88 azl.bluelight.br.

[root@azl ~]# host -t A azl.bluelight.br

azl.bluelight.br has address 192.168.1.8

/usr/local/samba/sbin/samba_dnsupdate --verbose

IPs: ['192.168.1.8']

Looking for DNS entry A azl.bluelight.br 192.168.1.8 as azl.bluelight.br.

Looking for DNS entry A bluelight.br 192.168.1.8 as bluelight.br.

Looking for DNS entry SRV _ldap._tcp.bluelight.br azl.bluelight.br 389 as _ldap._tcp.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _ldap._tcp.dc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.dc._msdcs.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.dc._msdcs.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _kerberos._tcp.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.bluelight.br.

Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.bluelight.br azl.bluelight.br 88

Looking for DNS entry SRV _kerberos._udp.bluelight.br azl.bluelight.br 88 as _kerberos._udp.bluelight.br.

Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._udp.bluelight.br azl.bluelight.br 88

Looking for DNS entry SRV _kerberos._tcp.dc._msdcs.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.dc._msdcs.bluelight.br.

Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.dc._msdcs.bluelight.br azl.bluelight.br 88

Looking for DNS entry SRV _kpasswd._tcp.bluelight.br azl.bluelight.br 464 as _kpasswd._tcp.bluelight.br.

Checking 0 100 464 azl.bluelight.br. against SRV _kpasswd._tcp.bluelight.br azl.bluelight.br 464

Looking for DNS entry SRV _kpasswd._udp.bluelight.br azl.bluelight.br 464 as _kpasswd._udp.bluelight.br.

Checking 0 100 464 azl.bluelight.br. against SRV _kpasswd._udp.bluelight.br azl.bluelight.br 464

Looking for DNS entry CNAME fa59eb6c-6d62-4648-9425-f18a458c493a._msdcs.bluelight.br azl.bluelight.br as fa59eb6c-6d62-4648-9425-f18a458c493a._msdcs.bluelight.br.

Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br.

Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 88

Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br.

Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 88

Looking for DNS entry SRV _ldap._tcp.pdc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.pdc._msdcs.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.pdc._msdcs.bluelight.br azl.bluelight.br 389

Looking for DNS entry A gc._msdcs.bluelight.br 192.168.1.8 as gc._msdcs.bluelight.br.

Looking for DNS entry SRV _gc._tcp.bluelight.br azl.bluelight.br 3268 as _gc._tcp.bluelight.br.

Checking 0 100 3268 azl.bluelight.br. against SRV _gc._tcp.bluelight.br azl.bluelight.br 3268

Looking for DNS entry SRV _ldap._tcp.gc._msdcs.bluelight.br azl.bluelight.br 3268 as _ldap._tcp.gc._msdcs.bluelight.br.

Checking 0 100 3268 azl.bluelight.br. against SRV _ldap._tcp.gc._msdcs.bluelight.br azl.bluelight.br 3268

Looking for DNS entry SRV _gc._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 3268 as _gc._tcp.Default-First-Site-Name._sites.bluelight.br.

Checking 0 100 3268 azl.bluelight.br. against SRV _gc._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 3268

Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br azl.bluelight.br 3268 as _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br.

Checking 0 100 3268 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br azl.bluelight.br 3268

Looking for DNS entry A DomainDnsZones.bluelight.br 192.168.1.8 as DomainDnsZones.bluelight.br.

Looking for DNS entry SRV _ldap._tcp.DomainDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.DomainDnsZones.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.DomainDnsZones.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br azl.bluelight.br 389

Looking for DNS entry A ForestDnsZones.bluelight.br 192.168.1.8 as ForestDnsZones.bluelight.br.

Looking for DNS entry SRV _ldap._tcp.ForestDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.ForestDnsZones.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.ForestDnsZones.bluelight.br azl.bluelight.br 389

Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br.

Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br azl.bluelight.br 389

No DNS updates needed

kerberos:

klist -e

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@BLUELIGHT.BR



Valid starting     Expires            Service principal

02/13/18 07:34:52  02/13/18 17:34:52  krbtgt/BLUELIGHT.BR@BLUELIGHT.BR

	renew until 02/14/18 07:34:48, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96

0 0

Quote

23. Re: Permissão grupo

removido
(usa Nenhuma)

Enviado em 14/02/2018 - 00:25h

Configurando um compartilhamento simples com senha no Centos 7

ISO usada:

CentOS-7-x86_64-Minimal-1503-01.iso

Para instalar o Samba no CentOS

# yum install samba

Backup do arquivo original

# cp -a /etc/samba/smb.conf /etc/samba/smb.conf-backup

Editar as configurações

# yum install nano

# nano /etc/samba/smb.conf

1- Passo

Altera o grupo de SAMBA para workgroup

workgroup = workgroup

Desativa os compartilhamentos:

[homes]
[printers]
[print$]

testparm

2- Passo

Criar um compartilhamento

# nano /etc/samba/smb.conf

[exatas]
comment=compartilha com exatas
path=/home/senac/exatas/
writable=yes
browseable=yes
write list=leda
valid users=@exatas
directory mask=0770
force create mode=770
force directory mode=770

------------------------------------------------------

3- Passo

# mkdir -p /home/senac/exatas/

# useradd leda

# passwd leda

# groupadd exatas

# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/

$ cat /etc/group | grep -i exatas

Para adicionar um usuário a um grupo

# gpasswd -a leda exatas

# smbpasswd -a leda

4- Passo

cat /etc/selinux/config

SELINUX=disabled

SELINUXTYPE=targeted

iptables -L

iptables -L -t nat

sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

Habilitar e reiniciar os serviços:

systemctl enable nmb.service
systemctl restart smb.service

5- Windows 10 64 bit

Firewall desativado

Desativar compartilhamento protegido por senha

Obs:

Cenário de teste: Centos 7, windows 10 64bit e rede virtual com virtualbox;

Com usuário leda pode gravar e deletar o conteúdo da pasta /home/senac/exatas/ pelo Windows 10;
Foi usado o próprio smb.conf do samba do Centos 7.

Rede no Centos:

Ver status das Interfaces:
# ip addr show

Adicionar o IP 10.0.0.10 á interface ens192:
# ip addr add 10.0.0.10/8 dev ens192

1 0

Quote

24. Re: Permissão grupo

ManuOnline
(usa Debian)

Enviado em 14/02/2018 - 03:03h

Nossa, vocês são de verdade mesmo, poxa, valeu. Eu tava quase indo para debian(desmotivado), mas a determinação que vocês tiveram e a esperança... kk surgiu uma luz!! Estou conseguindo com que a permissão funcione para grupo ou usuário. Eu vi na ajuda dada por meianoite que ele pôs o dono da pasta como um usuário, que não o root com o grupo exatas, tipo:

chown -R leda:exatas exatas/

Daí funcionou, só que tem um porém, eu quero por 50 usuários com direito nesta pasta...(???) Daí teria de criar 50 pastas exatas1,exatas2 ... para cada usuário ee... sei lá, buguei!! Aí complica né kk. Talvez tenha algo mais simples e estou exagerando.
Então eu acessei lá e até ficou bonito, vejam:

drwxrwx--- 2 BLUELIGHT\leda exatas 4096 Fev 14 02:33 exatas

Apareceu o domínio !! Fantástico.
Isto eu vi agora mesmo ao passar o olho nessa etapa do amigo meianoite. Não tenho nenhum RSAT, talvez isso seja obrigatório num ambiente AD, me desculpem mas não sei, to fazendo na unha nenhuma "mãozinha" do windows rss!
Mas ainda não cumpri a necessidade, terei de continuar tentando, e dando prosseguimento aos passos.

0 0

Quote