Segurança em compartilhamento no Samba

fernando.messias
(usa Debian)

Enviado em 14/09/2010 - 11:14h

Ola pessoal to com um problema aqui na empresa onde trabalho, tenho varias pastas de acordo com cada setor que mapeio nas unidades windows, mas ta acontecendo que tem alguns usuarios que sabem como mapear unidades e acabam mapeando pastas de outros setores para tar vendo arquivos sigilosos, gostaria de saber se tem como na hora de mapear pedisse uma senha de administrador.
E outra se o usuario digitar o nome do servidor com apasta ele entra direto na pasta sem mapear e o que ta acontecendo e o que ta acontecendo hoje aqui na empresa. Ex: \\meuservidor\cpd

Gostaria de saber como resolver esse problema pois estao causando muita dor de cabeça aqui.

segue meu smb.conf


[global]
log file = /var/log/samba/log.%m
smb passwd file = /etc/smbpasswd
admin users = coliveira
local master = yes
domain master = yes
domain logons = yes
logon script = %u.bat
unix password sync = no
null passwords = no
load printers = yes
name resolve order = host wins bcast
hosts allow = 10. 127.
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
hosts equiv = /etc/hosts
hostname lookups = yes
username map = /etc/samba/private/smbusers
encrypt passwords = yes
logon drive = Z:
logon path = \\%L\profiles\%U
logon home = \\%L\profiles\%U

time server = yes
password level = 0
wins support = true
dns proxy = no
netbios name = mns_linux
server string = (PDC)
remote announce = 10.255.255.255
workgroup = SCORPIOS_MNS
os level = 99
debug level = 1
printcap name = /etc/printcap
security = user
max log size = 100
domain logons = yes
domain logons = yes

#======================= Shares =============================================


[netlogon]
writeable = yes
path = /home/netlogon
force create mode = 0777
create mask = 0777
comment = Network Logon Service
public = yes

[profiles]
comment = %u
path = /home/%u
public = no
writable = yes
browseable = yes
printable = no
create mask = 0777
force create mode = 0770

[rh]
comment = Recursos Humanos
available = yes
browseable = no
path = /rede/rh
public = no
guest only = no
writable = yes
only user = no
admin users = @rh, @controle, hudson, 301rh1, 301rh2, 301rh3, 301rh4, 301rh5, 301sesmt1
[fiscal]
comment = 'Area Fiscal
available = yes
browseable = no
path = /rede/fiscal
public = no
guest only = no
writable = yes
only user = no
admin users = @contabilidade, @controle, @fiscal, 301adm1, 301adm2, 301adm3, 301adm4, 301cpd1, 301cpd2

korvoman
(usa Debian)

Enviado em 14/09/2010 - 11:21h

coloque valid user = usuario nas sessoes .

fernando.messias
(usa Debian)

Enviado em 14/09/2010 - 11:45h

ja fiz isso mas eles continuam acessando outras pastas.

e como eles estao no dominio não pede senahs deles e mas quem não estar no dominio e so usar uma senha de algum usuario na rede que passa. Gostaria de saber como fasso pra mudar isso.

korvoman
(usa Debian)

Enviado em 14/09/2010 - 16:12h

Ao trabalhar neste nível, confira as permissões dos diretorios (/rede), com o stat , chown e chmod.

segue um link http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina2.html

korvoman
(usa Debian)

Enviado em 19/09/2010 - 17:15h

Faça a cópia de segurança e realize o teste, em um dos compartilhamentos em que tem.
A seguir o exemplo de compartilhamento, em que tenho por um servidor de arquivo :

[nfed]
path = /home/nfed
read only = no
valid users = caixa,contabil
browseable = no

É bom conferir também as permissões básicas destes arquivos, como sugerido anteriormente.

fernando.messias
(usa Debian)

Enviado em 20/09/2010 - 19:02h

blz cara, so os que estao na opcao valid users tem acesso a pasta os outros usuarios que naum estao nessa opcao pede senha e login e o login e senha deles naum passa. BLZ . mas tem um porem gostaria de criar um usuario administrador q quando tivesse nessas maquinas q naum tem permicao eu colocasse essa senha de administrador ela passasse. pois as vezes preciso pegar algun documento em outras pastas e naum consigo.

tecnicodiegorato
(usa Ubuntu)

Enviado em 20/09/2010 - 19:18h

crie um compartilhamento raiz com acesso a todas as pasta e inclua apenas o seu usuario no valid users, ou então inclua o seu usuario em todos os valid users em cada diretório, eu sugiro que siga a primeira dica, que é mais simples e mais eficiente.

outra coisa, o lance das permissões era só alterar a tag de secutity = user para security = share.

Boa sorte.

fernando.messias
(usa Debian)

Enviado em 20/09/2010 - 20:35h

blz cara ja fiz isso, mas é o seguinte quando eu chegar na maquina cliente eu vou ter q fazer logof para logar com o meu usuario, pois ele nao passa se eu digitar meu login e usuario quando clicar na pasta da rede se eu estiver logado com outro usuario, q nao tem permissao na pasta.

É como falei gostaria de fazer com q tivesse um usuario administrador q acessasse todas as pastas mesmo estando logado com outro usuario.

tecnicodiegorato
(usa Ubuntu)

Enviado em 20/09/2010 - 23:58h

isso não é possível, já fiz tudo que pesquisei e não consegui, creio ser uma falha do windows por não permitir multíplos logins ao mesmo servidor, só fazendo logoff e logando com seu usuario, tenho um cliente com um servidor rodando nessa mesma configuração que você tem,há uns 4 anos. já pesquisei a documentação do samba, porém creio ser limitação do windows mesmo.

ah uma outra dica pro seu smb.conf a tag

veto files = /*.mp3/*.wma/*.wmv/*.avi/*.mpg/*.wav/

vocÊ proíbe a gravação de um determinado tipo de arquivo, muito útil pra evitar dos usuários guardarem lixo na rede.

abraços e boa sorte.