Permissão grupo

13. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 11/02/2018 - 23:21h

lcavalheiro escreveu:

Os usuários windows precisam de usuários no server samba, obviamente você fez essa parte. Você atribuiu aos usuários no server samba os grupos corretos, obviamente você fez essa parte. Você atribuiu as propriedades de grupo nos diretórios do server samba aos grupos corretos?

Sim, foi como mostrei, um grupo criado no samba e outro no linux, ambos com mesmo nome permissões 775, o smb.conf referidos, usam + ao invés do @, isso deve provar o quão ultrapassado meu samba está, kk. Não sei mas nada, nem ideia :/
Comandos usados:
useradd
passwd
groupadd
gpasswd
samba-tool
smbpasswd

Algo que diz bastante a respeito disso, se realmente fazem parte, vejam a seguir:
# id leda
uid=562(leda) gid=567(leda) grupos=567(leda),568(exatas)

Para apurar o diagnóstico kk :/
Desconfio da forma como entrei no domínio; ingressei como a conta de administrator, para logo em seguida entrar como um usuário do samba, talvez não seja o certo, deveria alterar algo como administrator antes, e o winbind? pouco sei sobre ele, não o configurei, o que vocês me dizem, será necessário? De qualquer modo estou aceitando sujestões , toda ajuda é bem-vinda, gracias!


  


14. Re: Permissão grupo

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 11/02/2018 - 23:47h

ManuOnline escreveu:
Desconfio da forma como entrei no domínio; ingressei como a conta de administrator, para logo em seguida entrar como um usuário do samba, talvez não seja o certo, deveria alterar algo como administrator antes, e o winbind? pouco sei sobre ele, não o configurei, o que vocês me dizem, será necessário? De qualquer modo estou aceitando sujestões , toda ajuda é bem-vinda, gracias!


posta aí
cat /etc/group | grep exatas 


poste um "ls -la" do seu compartilhamento

poste todo o smb.conf

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



15. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 12/02/2018 - 01:35h

Esta seria a pasta principal:
drwxr-xr-x 6 root          root          4096 Fev 11 03:43 senac 



# ls -la /home/senac/
total 24
drwxr-xr-x 6 root root 4096 Fev 11 03:43 .
drwxr-xr-x. 83 root root 4096 Fev 8 23:31 ..
drwxr-xr-x 2 Administrator Administrator 4096 Fev 6 20:54 Administrator
drwxrwxr-x 3 root exatas 4096 Fev 12 01:13 exatas
drwxrwxr-x 6 root Humanas 4096 Fev 9 19:21 humanas
drwxrwxr-x 3 root publica 4096 Fev 11 23:34 publica



Pasta compartilhada, exatas...
# ls -la exatas/
total 12
drwxrwxr-x 3 root exatas 4096 Fev 12 01:02 .
drwxr-xr-x 6 root root 4096 Fev 11 03:43 ..
drwxrwxr-x 2 root redes 4096 Fev 12 01:02 redes

Linux:
# cat /etc/group | grep exatas
exatas:x:568:veneno,leda


Para acrescentar:
# /usr/local/samba/bin/samba-tool group listmembers exatas
veneno
luana
leda


smb.conf:
[global]
workgroup = BLUELIGHT
realm = BLUELIGHT.BR
netbios name = AZL
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
; dns forwarder = 192.168.1.7
; ntlm auth = yes
; security = user
; hosts allow = ALL
; log file = /var/log/samba.%m
; interfaces = 192.168.1.7
domain master = yes
; domain logons = yes
; local master = yes
; admin users = azl
; wins support = yes
logon home = \\adm\home\senac\
; preferred master = yes
admin users = root
[netlogon]
path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[humanas]
comment = compartilha com alunos de humanas
path = /home/senac/humanas/%U
write list = @Humanas, luana
directory mask = 0700
force create mode = 777
force directory mode = 777
browseable = yes
valid users = @Humanas, @exatas, luana
writable = yes

[redes]
path = /home/senac/exatas/redes/
browseable = yes
valid users = @redes
force group = @redes
create mask = 0770
writeable = yes
directory mask = 0770
[publica]
path = /home/senac/publica
browseable = yes
writable = yes
public = yes
guest ok = yes

[homes]
path = /home/%U
writeable = yes
valid users = %U
read only = no
guest ok = yes
force create mode = 0750
force directory mode = 0750
create mask = 0700
directory mask = 0700
browseable = no
[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
browseable = yes
write list = @exatas, leda
valid users = @exatas, leda
directory mask = 0770
force create mode = 770
force directory mode = 770





16. Re: Permissão grupo

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 12/02/2018 - 13:53h

ManuOnline escreveu:
Esta seria a pasta principal:
...


Olha só ... peguei seu smb.conf e coloquei aqui, funcionou de boa, as linhas que eu não precisava eu comentei
[global]
workgroup = bluelight
#realm = BLUELIGHT.BR
netbios name = phantom
#server role = active directory domain controller
#server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
#idmap_ldb:use rfc2307 = yes
#dns forwarder = 192.168.1.7
#ntlm auth = yes
security = user
#hosts allow = ALL
log file = /var/log/samba.%m
#interfaces = 192.168.1.7
#domain master = yes
#domain logons = yes
#local master = yes
#admin users = azl
#wins support = yes
#logon home = \\adm\home\senac\
#preferred master = yes
#admin users = root
#[netlogon]
#path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts
#read only = No
#[sysvol]
#path = /usr/local/samba/var/locks/sysvol
#read only = No
#
#[humanas]
#comment = compartilha com alunos de humanas
#path = /home/senac/humanas/%U
#write list = @Humanas, luana
#directory mask = 0700
#force create mode = 777
#force directory mode = 777
#browseable = yes
#valid users = @Humanas, @exatas, luana
#writable = yes
#
#[redes]
#path = /home/senac/exatas/redes/
#browseable = yes
#valid users = @redes
#force group = @redes
#create mask = 0770
#writeable = yes
#directory mask = 0770
#[publica]
#path = /home/senac/publica
#browseable = yes
#writable = yes
#public = yes
#guest ok = yes
#
#[homes]
#path = /home/%U
#writeable = yes
#valid users = %U
#read only = no
#guest ok = yes
#force create mode = 0750
#force directory mode = 0750
#create mask = 0700
#directory mask = 0700
#browseable = no
[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
#browseable = yes
#write list = @exatas, leda
valid users = +exatas
#directory mask = 0770
#force create mode = 770
#force directory mode = 770
public = yes


estrutura do compartilhamento
[email protected] /home/senac # ls -la
total 12
drwxr-xr-x 3 root root 4096 Fev 12 11:30 .
drwxr-xr-x 7 root root 4096 Fev 12 12:52 ..
drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas


na minha VM com win7 eu loguei com eu usuário normal e quando acessei a rede acessei com "leda + senha"

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



17. Re: Permissão grupo

Perfil removido
removido

(usa Nenhuma)

Enviado em 12/02/2018 - 20:18h

ManuOnline escreveu:

Esta seria a pasta principal:
drwxr-xr-x 6 root          root          4096 Fev 11 03:43 senac 



# ls -la /home/senac/
total 24
drwxr-xr-x 6 root root 4096 Fev 11 03:43 .
drwxr-xr-x. 83 root root 4096 Fev 8 23:31 ..
drwxr-xr-x 2 Administrator Administrator 4096 Fev 6 20:54 Administrator
drwxrwxr-x 3 root exatas 4096 Fev 12 01:13 exatas
drwxrwxr-x 6 root Humanas 4096 Fev 9 19:21 humanas
drwxrwxr-x 3 root publica 4096 Fev 11 23:34 publica



Pasta compartilhada, exatas...
# ls -la exatas/
total 12
drwxrwxr-x 3 root exatas 4096 Fev 12 01:02 .
drwxr-xr-x 6 root root 4096 Fev 11 03:43 ..
drwxrwxr-x 2 root redes 4096 Fev 12 01:02 redes

Linux:
# cat /etc/group | grep exatas
exatas:x:568:veneno,leda


Para acrescentar:
# /usr/local/samba/bin/samba-tool group listmembers exatas
veneno
luana
leda


smb.conf:
[global]
workgroup = BLUELIGHT
realm = BLUELIGHT.BR
netbios name = AZL
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
; dns forwarder = 192.168.1.7
; ntlm auth = yes
; security = user
; hosts allow = ALL
; log file = /var/log/samba.%m
; interfaces = 192.168.1.7
domain master = yes
; domain logons = yes
; local master = yes
; admin users = azl
; wins support = yes
logon home = \\adm\home\senac\
; preferred master = yes
admin users = root
[netlogon]
path = /usr/local/samba/var/locks/sysvol/bluelight.br/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[humanas]
comment = compartilha com alunos de humanas
path = /home/senac/humanas/%U
write list = @Humanas, luana
directory mask = 0700
force create mode = 777
force directory mode = 777
browseable = yes
valid users = @Humanas, @exatas, luana
writable = yes

[redes]
path = /home/senac/exatas/redes/
browseable = yes
valid users = @redes
force group = @redes
create mask = 0770
writeable = yes
directory mask = 0770
[publica]
path = /home/senac/publica
browseable = yes
writable = yes
public = yes
guest ok = yes

[homes]
path = /home/%U
writeable = yes
valid users = %U
read only = no
guest ok = yes
force create mode = 0750
force directory mode = 0750
create mask = 0700
directory mask = 0700
browseable = no
[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
browseable = yes
write list = @exatas, leda
valid users = @exatas, leda
directory mask = 0770
force create mode = 770
force directory mode = 770










exatas:x:568:veneno,leda OK


Somente leda tem acesso de leitura e escrita na pasta /home/senac/exatas/ .Os demais usuários que estão no grupo exatas tem acesso somente leitura o resto sem acesso.


[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
available = yes
browseable = yes
write list = leda
valid users = @exatas
directory mask = 0770
force create mode = 770
force directory mode = 770

-------------------------------------------------------------------------------------

# writable = yes : O compartilhamento fica disponível para leitura e escrita.
# writable = no : o compartilhamento fica disponível para somente leitura.

Obs: Ser o @ não funcionar coloca o +

reinicia o samba

/etc/init.d/samba restart


testparm


smbstatus



1-


# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/

2-

Como esta o Firewall e SELinux?


http://www.hardware.com.br/guias/fedora/firewall-selinux.html

3-

O ideal seria 750.




4-

cat /var/log/samba/samba.log


5- Quer usar o samba com PDC?




$ man samba








-------------------------------------------------------------------------
E aí pessoal? Tudo mais ou menos?

TV de Plasma de 42 polegadas? Eu Sempre quis ter uma TV assim.

HD hein! tá novinho, perfeitos, Eu Sempre quis ter um HD assim.


18. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 12/02/2018 - 22:35h

Caramba! Mauriciodez, consegues dentro da pasta exatas criar arquivos e editar?
Quando determino para outros nenhum direito, nem sequer posso acessar as pastas, é como, só importasse o direito que dou à outros que são válidos, assim como vc fez abaixo eu fico restringido até mesmo a entrar na pasta, como explicado. Apesar de estar usando winxp para acesso, também estou logando pelo linux através do nautilus.
Mauriciodez:
drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas



meianoite:
[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
available = yes
browseable = yes
write list = leda
valid users = @exatas
directory mask = 0770
force create mode = 770
force directory mode = 770


Gostei desta maneira; separando, apliquei, reiniciei, com menção ao grupo usando, ora com @ ora com +,

#testparm, mostra mais coisas mesmo que não foram setadas no smb.conf manualmente, meio ocultas.
Algo que não pus em evidência; estou usando BIND9_DLZ.

# /usr/local/samba/bin/testparm 
Load smb config files from /usr/local/samba/etc/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[sysvol]"
Processing section "[humanas]"
Processing section "[redes]"
Processing section "[publica]"
Processing section "[homes]"
Processing section "[exatas]"
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC
[global]
workgroup = BLUELIGHT
realm = BLUELIGHT.BR
server role = active directory domain controller
passdb backend = samba_dsdb
logon home = \\adm\home\senac; preferred master = yes
domain master = Yes
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
winbindd:use external pipes = true
idmap_ldb:use rfc2307 = yes
idmap config * : backend = tdb
admin users = root
map archive = No
map readonly = no
store dos attributes = Yes
vfs objects = dfs_samba4 acl_xattr


#smbstatus:
# /usr/local/samba/bin/smbstatus 

Samba version 4.3.1
PID Username Group Machine Protocol Version
------------------------------------------------------------------------------
20909 3000029 users 192.168.1.3 (ipv4:192.168.1.3:60032) Unknown (0x0311)
20907 nobody 3000009 allan (ipv4:192.168.1.3:44984) Unknown (0x0311)
21021 3000029 users 192.168.1.5 (ipv4:192.168.1.5:1754) NT1

Service pid machine Connected at
-------------------------------------------------------
exatas 20909 192.168.1.3 Mon Feb 12 21:05:50 2018
IPC$ 20907 allan Mon Feb 12 21:05:49 2018
exatas 21021 192.168.1.5 Mon Feb 12 22:07:09 2018
publica 21021 192.168.1.5 Mon Feb 12 22:07:53 2018
IPC$ 21021 192.168.1.5 Mon Feb 12 22:07:07 2018

Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
--------------------------------------------------------------------------------------------------
21021 3000029 DENY_NONE 0x100081 RDONLY NONE /home/senac/publica . Mon Feb 12 22:07:53 2018



1-


# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/


[[email protected] senac]# chown -R leda:exatas /home/senac/exatas/
[[email protected] senac]# chmod -R 750 /home/senac/exatas/
[[email protected] senac]# ls -l /home/senac/exatas/
total 8
drwxr-x--- 2 leda exatas 4096 Fev 12 01:02 redes
-rwxr-x--- 1 leda exatas 1765 Fev 12 01:13 smb




2-

Como esta o Firewall e SELinux?

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



http://www.hardware.com.br/guias/fedora/firewall-selinux.html

# cat /etc/selinux/config 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted


3-

O ideal seria 750.

Neste caso, só teria como ler e executar, era como já estava, não pelo fato do grupo ter 7 anteriormente, mas sim pelo poder que outros tinham , 5... pois as permissões, não entendo porque, em meu samba só estão tendo efeito baseados em permissão para outros, minha necessidade é ter escrita também.

4-

cat /var/log/samba/samba.log


# cat /var/log/samba.
samba.__1 samba.192.168.1.10 samba.192.168.1.2 samba.192.168.1.5 samba.192.168.1.8 samba.allan-da1814928 samba.azl samba.senac samba.winbindd
samba.127.0.0.1 samba.192.168.1.13 samba.192.168.1.201 samba.192.168.1.6 samba.allan samba.allan-pc samba.%m samba.smbd


Editado: Julguei sem importante o arquivo criado no smb para log ser preciso,
# tail -f /var/log/samba.%m
[2018/02/12 22:59:06.866626, 0] ../source4/smbd/server.c:372(binary_smbd_main)
samba version 4.3.1 started.
Copyright Andrew Tridgell and the Samba Team 1992-2015
[2018/02/12 22:59:07.205936, 0] ../source4/smbd/server.c:490(binary_smbd_main)
samba: using 'standard' process model
[2018/02/12 22:59:07.228930, 0] ../lib/util/become_daemon.c:124(daemon_ready)
STATUS=daemon 'samba' finished starting up and ready to serve connections


5- Quer usar o samba com PDC?

Como AD.


Aqui é algo que julgo ser importante:

# ls -l /home/ | grep leda
drwx------ 2 leda leda 4096 Fev 8 23:31 leda

Ainda assim, tudo está como antes, nenhuma alteração, lembrando que "write list = leda" dessa forma exclusiva, não da resultados.



19. Re: Permissão grupo

Perfil removido
removido

(usa Nenhuma)

Enviado em 13/02/2018 - 00:01h

ManuOnline escreveu:

Caramba! Mauriciodez, consegues dentro da pasta exatas criar arquivos e editar?
Quando determino para outros nenhum direito, nem sequer posso acessar as pastas, é como, só importasse o direito que dou à outros que são válidos, assim como vc fez abaixo eu fico restringido até mesmo a entrar na pasta, como explicado. Apesar de estar usando winxp para acesso, também estou logando pelo linux através do nautilus.
Mauriciodez:
drwxrwx--- 2 root exatas 4096 Fev 12 11:30 exatas



meianoite:
[exatas]
comment = compartilha com exatas
path = /home/senac/exatas/
writable = yes
available = yes
browseable = yes
write list = leda
valid users = @exatas
directory mask = 0770
force create mode = 770
force directory mode = 770


Gostei desta maneira; separando, apliquei, reiniciei, com menção ao grupo usando, ora com @ ora com +,

#testparm, mostra mais coisas mesmo que não foram setadas no smb.conf manualmente, meio ocultas.
Algo que não pus em evidência; estou usando BIND9_DLZ.

# /usr/local/samba/bin/testparm 
Load smb config files from /usr/local/samba/etc/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[sysvol]"
Processing section "[humanas]"
Processing section "[redes]"
Processing section "[publica]"
Processing section "[homes]"
Processing section "[exatas]"
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC
[global]
workgroup = BLUELIGHT
realm = BLUELIGHT.BR
server role = active directory domain controller
passdb backend = samba_dsdb
logon home = \\adm\home\senac; preferred master = yes
domain master = Yes
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
winbindd:use external pipes = true
idmap_ldb:use rfc2307 = yes
idmap config * : backend = tdb
admin users = root
map archive = No
map readonly = no
store dos attributes = Yes
vfs objects = dfs_samba4 acl_xattr


#smbstatus:
# /usr/local/samba/bin/smbstatus 

Samba version 4.3.1
PID Username Group Machine Protocol Version
------------------------------------------------------------------------------
20909 3000029 users 192.168.1.3 (ipv4:192.168.1.3:60032) Unknown (0x0311)
20907 nobody 3000009 allan (ipv4:192.168.1.3:44984) Unknown (0x0311)
21021 3000029 users 192.168.1.5 (ipv4:192.168.1.5:1754) NT1

Service pid machine Connected at
-------------------------------------------------------
exatas 20909 192.168.1.3 Mon Feb 12 21:05:50 2018
IPC$ 20907 allan Mon Feb 12 21:05:49 2018
exatas 21021 192.168.1.5 Mon Feb 12 22:07:09 2018
publica 21021 192.168.1.5 Mon Feb 12 22:07:53 2018
IPC$ 21021 192.168.1.5 Mon Feb 12 22:07:07 2018

Locked files:
Pid Uid DenyMode Access R/W Oplock SharePath Name Time
--------------------------------------------------------------------------------------------------
21021 3000029 DENY_NONE 0x100081 RDONLY NONE /home/senac/publica . Mon Feb 12 22:07:53 2018



1-


# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/


[[email protected] senac]# chown -R leda:exatas /home/senac/exatas/
[[email protected] senac]# chmod -R 750 /home/senac/exatas/
[[email protected] senac]# ls -l /home/senac/exatas/
total 8
drwxr-x--- 2 leda exatas 4096 Fev 12 01:02 redes
-rwxr-x--- 1 leda exatas 1765 Fev 12 01:13 smb




2-

Como esta o Firewall e SELinux?

iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination



http://www.hardware.com.br/guias/fedora/firewall-selinux.html

# cat /etc/selinux/config 
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted


3-

O ideal seria 750.

Neste caso, só teria como ler e executar, era como já estava, não pelo fato do grupo ter 7 anteriormente, mas sim pelo poder que outros tinham , 5... pois as permissões, não entendo porque, em meu samba só estão tendo efeito baseados em permissão para outros, minha necessidade é ter escrita também.

4-

cat /var/log/samba/samba.log


# cat /var/log/samba.
samba.__1 samba.192.168.1.10 samba.192.168.1.2 samba.192.168.1.5 samba.192.168.1.8 samba.allan-da1814928 samba.azl samba.senac samba.winbindd
samba.127.0.0.1 samba.192.168.1.13 samba.192.168.1.201 samba.192.168.1.6 samba.allan samba.allan-pc samba.%m samba.smbd


Editado: Julguei sem importante o arquivo criado no smb para log ser preciso,
# tail -f /var/log/samba.%m
[2018/02/12 22:59:06.866626, 0] ../source4/smbd/server.c:372(binary_smbd_main)
samba version 4.3.1 started.
Copyright Andrew Tridgell and the Samba Team 1992-2015
[2018/02/12 22:59:07.205936, 0] ../source4/smbd/server.c:490(binary_smbd_main)
samba: using 'standard' process model
[2018/02/12 22:59:07.228930, 0] ../lib/util/become_daemon.c:124(daemon_ready)
STATUS=daemon 'samba' finished starting up and ready to serve connections


5- Quer usar o samba com PDC?

Como AD.


Aqui é algo que julgo ser importante:

# ls -l /home/ | grep leda
drwx------ 2 leda leda 4096 Fev 8 23:31 leda

Ainda assim, tudo está como antes, nenhuma alteração, lembrando que "write list = leda" dessa forma exclusiva, não da resultados.



A principio esta tudo ok, write list = leda deveria da resultado .

As configurações do samba como AD é outra em relação ao smb.conf normal.

Sugiro:

1- Testar esse cenário em outra distro como: Slackware, Mint, Ubuntu ou Debian
2- Usar uma maquina virtual com uma instalação do fedora limpa e atualizada.

Obs: Já tive problema com Samba depois da atualização do Debian 8 para 9, não restart e nem start.
Não tenho problema no Slackware com Samba dentro das pastas posso criar arquivos e editar normalmente.

3- É importante remove [homes] do smb.conf um ";" já resolve o problema.

4- Usa um smb.conf normal sem ser AD e refaz os procedimentos na VM ou em outra distro.

5- Quando os usuários loga no domínio tem alguma mensagem de erro?

Como esta não tem como sabe ser é algo relacionado ao sistema ou ao samba no Fedora.



20. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 13/02/2018 - 02:32h

Nenhuma mensagem de erro quando usuários win entram, tudo normal, mas ao tentar entrar em uma pasta como exatas, é advertido que devo consultar o adminstrador e no nautilus diz que tenho permissão negada.

É pessoal, tem mais jeito não, gostaria de saber qual versão do samba dos senhores? Irei recomeçar, fiz uma compilação do 4.3.1, até gostaria de desfazer tudo, mas sem ideias de como, então vou começar uma nova :/
Eu tenho uma negação com debian, neste samba usei centos como já devem ter notado, obg por toda ajuda!


21. Re: Permissão grupo

Mauriciodez
Mauriciodez

(usa Debian)

Enviado em 13/02/2018 - 11:51h

ManuOnline escreveu:

Nenhuma mensagem de erro quando usuários win entram, tudo normal, mas ao tentar entrar em uma pasta como exatas, é advertido que devo consultar o adminstrador e no nautilus diz que tenho permissão negada.

É pessoal, tem mais jeito não, gostaria de saber qual versão do samba dos senhores? Irei recomeçar, fiz uma compilação do 4.3.1, até gostaria de desfazer tudo, mas sem ideias de como, então vou começar uma nova :/
Eu tenho uma negação com debian, neste samba usei centos como já devem ter notado, obg por toda ajuda!


pra que vc compilou o samba, o fedora não tem ele nos repositórios ?
eu uso aqui o 4.2 ( padrão do Debian jessie ).
Quanto a começar tudo de novo ... isso já te foi sugerido, não sei pq vc ainda não refez !!

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------



22. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 13/02/2018 - 17:34h

Mauriciodez escreveu:

ManuOnline escreveu:

Nenhuma mensagem de erro quando usuários win entram, tudo normal, mas ao tentar entrar em uma pasta como exatas, é advertido que devo consultar o adminstrador e no nautilus diz que tenho permissão negada.

É pessoal, tem mais jeito não, gostaria de saber qual versão do samba dos senhores? Irei recomeçar, fiz uma compilação do 4.3.1, até gostaria de desfazer tudo, mas sem ideias de como, então vou começar uma nova :/
Eu tenho uma negação com debian, neste samba usei centos como já devem ter notado, obg por toda ajuda!


pra que vc compilou o samba, o fedora não tem ele nos repositórios ?
eu uso aqui o 4.2 ( padrão do Debian jessie ).
Quanto a começar tudo de novo ... isso já te foi sugerido, não sei pq vc ainda não refez !!

------------------------------------------| Linux User #621728 |-----------------------------------------

" Nem sempre é amigo aquele que te tira do buraco !!! ( Saddam Hussein )"

------------------------------------------| Linux User #621728 |-----------------------------------------


Pois é, eu gostaria, pq é bem mais prático e funcional também, mas são as exigências chatas das quais são, usar: centos ou debian. Usar AD e a regra é ser compilado num ambiente virtual :/
Não irão acreditar. Nesta noite, com muita força de vontade instalei uma versão mais atualizada 4.4.0 , e acreditem se quiserem, o mesmo problema. Será que problema esta em usar BIND9_DLZ, deve ser necessário mexer em zonas? Vejam bem os arquivos:

named.conf
options {
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
listen-on port 53 { 127.0.0.1;any; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost;any; };
recursion yes;

dnssec-enable yes;
dnssec-validation yes;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
include "/usr/local/samba/private/named.conf";


Testes:
[[email protected] ~]# host -t SRV _ldap._tcp.bluelight.br
_ldap._tcp.bluelight.br has SRV record 0 100 389 azl.bluelight.br.
[[email protected] ~]# host -t SRV _kerberos._udp.bluelight.br
_kerberos._udp.bluelight.br has SRV record 0 100 88 azl.bluelight.br.
[[email protected] ~]# host -t A azl.bluelight.br
azl.bluelight.br has address 192.168.1.8


/usr/local/samba/sbin/samba_dnsupdate --verbose
IPs: ['192.168.1.8']
Looking for DNS entry A azl.bluelight.br 192.168.1.8 as azl.bluelight.br.
Looking for DNS entry A bluelight.br 192.168.1.8 as bluelight.br.
Looking for DNS entry SRV _ldap._tcp.bluelight.br azl.bluelight.br 389 as _ldap._tcp.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _ldap._tcp.dc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.dc._msdcs.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.dc._msdcs.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.523e2997-c275-4a3d-94ad-5221fd742636.domains._msdcs.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _kerberos._tcp.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.bluelight.br.
Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.bluelight.br azl.bluelight.br 88
Looking for DNS entry SRV _kerberos._udp.bluelight.br azl.bluelight.br 88 as _kerberos._udp.bluelight.br.
Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._udp.bluelight.br azl.bluelight.br 88
Looking for DNS entry SRV _kerberos._tcp.dc._msdcs.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.dc._msdcs.bluelight.br.
Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.dc._msdcs.bluelight.br azl.bluelight.br 88
Looking for DNS entry SRV _kpasswd._tcp.bluelight.br azl.bluelight.br 464 as _kpasswd._tcp.bluelight.br.
Checking 0 100 464 azl.bluelight.br. against SRV _kpasswd._tcp.bluelight.br azl.bluelight.br 464
Looking for DNS entry SRV _kpasswd._udp.bluelight.br azl.bluelight.br 464 as _kpasswd._udp.bluelight.br.
Checking 0 100 464 azl.bluelight.br. against SRV _kpasswd._udp.bluelight.br azl.bluelight.br 464
Looking for DNS entry CNAME fa59eb6c-6d62-4648-9425-f18a458c493a._msdcs.bluelight.br azl.bluelight.br as fa59eb6c-6d62-4648-9425-f18a458c493a._msdcs.bluelight.br.
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br.
Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 88
Looking for DNS entry SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 88 as _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br.
Checking 0 100 88 azl.bluelight.br. against SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.bluelight.br azl.bluelight.br 88
Looking for DNS entry SRV _ldap._tcp.pdc._msdcs.bluelight.br azl.bluelight.br 389 as _ldap._tcp.pdc._msdcs.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.pdc._msdcs.bluelight.br azl.bluelight.br 389
Looking for DNS entry A gc._msdcs.bluelight.br 192.168.1.8 as gc._msdcs.bluelight.br.
Looking for DNS entry SRV _gc._tcp.bluelight.br azl.bluelight.br 3268 as _gc._tcp.bluelight.br.
Checking 0 100 3268 azl.bluelight.br. against SRV _gc._tcp.bluelight.br azl.bluelight.br 3268
Looking for DNS entry SRV _ldap._tcp.gc._msdcs.bluelight.br azl.bluelight.br 3268 as _ldap._tcp.gc._msdcs.bluelight.br.
Checking 0 100 3268 azl.bluelight.br. against SRV _ldap._tcp.gc._msdcs.bluelight.br azl.bluelight.br 3268
Looking for DNS entry SRV _gc._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 3268 as _gc._tcp.Default-First-Site-Name._sites.bluelight.br.
Checking 0 100 3268 azl.bluelight.br. against SRV _gc._tcp.Default-First-Site-Name._sites.bluelight.br azl.bluelight.br 3268
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br azl.bluelight.br 3268 as _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br.
Checking 0 100 3268 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.bluelight.br azl.bluelight.br 3268
Looking for DNS entry A DomainDnsZones.bluelight.br 192.168.1.8 as DomainDnsZones.bluelight.br.
Looking for DNS entry SRV _ldap._tcp.DomainDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.DomainDnsZones.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.DomainDnsZones.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.bluelight.br azl.bluelight.br 389
Looking for DNS entry A ForestDnsZones.bluelight.br 192.168.1.8 as ForestDnsZones.bluelight.br.
Looking for DNS entry SRV _ldap._tcp.ForestDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.ForestDnsZones.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.ForestDnsZones.bluelight.br azl.bluelight.br 389
Looking for DNS entry SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br azl.bluelight.br 389 as _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br.
Checking 0 100 389 azl.bluelight.br. against SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.bluelight.br azl.bluelight.br 389
No DNS updates needed


kerberos:
klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting Expires Service principal
02/13/18 07:34:52 02/13/18 17:34:52 krbtgt/[email protected]
renew until 02/14/18 07:34:48, Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96



23. Re: Permissão grupo

Perfil removido
removido

(usa Nenhuma)

Enviado em 14/02/2018 - 00:25h

Configurando um compartilhamento simples com senha no Centos 7

ISO usada:

CentOS-7-x86_64-Minimal-1503-01.iso


Para instalar o Samba no CentOS


# yum install samba


Backup do arquivo original

# cp -a /etc/samba/smb.conf /etc/samba/smb.conf-backup


Editar as configurações

# yum install nano


# nano /etc/samba/smb.conf


1- Passo

Altera o grupo de SAMBA para workgroup

workgroup = workgroup


Desativa os compartilhamentos:


[homes]
[printers]
[print$]




testparm


2- Passo

Criar um compartilhamento


# nano /etc/samba/smb.conf


[exatas]
comment=compartilha com exatas
path=/home/senac/exatas/
writable=yes
browseable=yes
write list=leda
valid [email protected]
directory mask=0770
force create mode=770
force directory mode=770

------------------------------------------------------

3- Passo

# mkdir -p /home/senac/exatas/


# useradd leda

# passwd leda

# groupadd exatas



# chown -R leda:exatas /home/senac/exatas/

# chmod -R 750 /home/senac/exatas/

$ ls -l /home/senac/


$ cat /etc/group | grep -i exatas


Para adicionar um usuário a um grupo

# gpasswd -a leda exatas


# smbpasswd -a leda



4- Passo

cat /etc/selinux/config

SELINUX=disabled

SELINUXTYPE=targeted



iptables -L

iptables -L -t nat





sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT



Habilitar e reiniciar os serviços:


systemctl enable nmb.service
systemctl restart smb.service


5- Windows 10 64 bit

Firewall desativado

Desativar compartilhamento protegido por senha


Obs:

Cenário de teste: Centos 7, windows 10 64bit e rede virtual com virtualbox;

Com usuário leda pode gravar e deletar o conteúdo da pasta /home/senac/exatas/ pelo Windows 10;
Foi usado o próprio smb.conf do samba do Centos 7.


Rede no Centos:

Ver status das Interfaces:
# ip addr show

Adicionar o IP 10.0.0.10 á interface ens192:
# ip addr add 10.0.0.10/8 dev ens192



24. Re: Permissão grupo

Manu
ManuOnline

(usa Ubuntu)

Enviado em 14/02/2018 - 03:03h

Nossa, vocês são de verdade mesmo, poxa, valeu. Eu tava quase indo para debian(desmotivado), mas a determinação que vocês tiveram e a esperança... kk surgiu uma luz!! Estou conseguindo com que a permissão funcione para grupo ou usuário. Eu vi na ajuda dada por meianoite que ele pôs o dono da pasta como um usuário, que não o root com o grupo exatas, tipo:
chown -R leda:exatas exatas/ 

Daí funcionou, só que tem um porém, eu quero por 50 usuários com direito nesta pasta...(???) Daí teria de criar 50 pastas exatas1,exatas2 ... para cada usuário ee... sei lá, buguei!! Aí complica né kk. Talvez tenha algo mais simples e estou exagerando.
Então eu acessei lá e até ficou bonito, vejam:

drwxrwx--- 2 BLUELIGHT\leda exatas 4096 Fev 14 02:33 exatas 

Apareceu o domínio !! Fantástico.
Isto eu vi agora mesmo ao passar o olho nessa etapa do amigo meianoite. Não tenho nenhum RSAT, talvez isso seja obrigatório num ambiente AD, me desculpem mas não sei, to fazendo na unha nenhuma "mãozinha" do windows rss!
Mas ainda não cumpri a necessidade, terei de continuar tentando, e dando prosseguimento aos passos.



01 02 03



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts