Pagina 1 di 2
samba4 AD problema scrittura home utente o share in generale
Inviato: martedì 24 febbraio 2015, 15:12
da fieraf
ciao a tutti.
seguendo la guida del wiki di samba e
[url=http://%20http://blogging.dragon.org.uk/administering-ad-dc-via-windows/]samba4AD-DC[/url]
samba4AD-DC-in spagnolo
sono riuscito a configurare la home dell'utente all avvio della sessione, nel server viene creata la cartella con i permessi root:20000 drwxrwx---+
pero non riesco a scrivere (dice che non ho i permessi)
Nella guida di samba si fa riferimento all Authenticated user que pero non mi appare nel rsat di windows quando do i permessi alla cartella
Potete aiutarmi?
Grazie
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: martedì 24 febbraio 2015, 15:34
da fieraf
il log di samba dice
./source3/smbd/uid.c:153(check_user_share_access)
user ESIGMAN\raf connection to home denied due to share security descriptor.
le accl della cartela sono
Codice: Seleziona tutto
getfacl ad_home/raf/
# file: ad_home/raf/
# owner: root
# group: 20000
user::rwx
user:root:rwx
user:10000:rwx
user:3000002:rwx
group::rwx
group:20000:rwx
group:20001:rwx
group:20002:rwx
group:3000002:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:10000:rwx
default:user:3000002:rwx
default:group::rwx
default:group:20000:rwx
default:group:20001:rwx
default:group:20002:rwx
default:group:3000002:rwx
default:mask::rwx
default:other::---
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 10:15
da luca33
eccoci qui....
mmm mi sa che qui c'è un pochina di confusione....all'ora andiamo per gradi....e facciamo un pochino di trubbleshooting
Domande:
1) L'UID/GID 20000 è presente nella TAB "UNIX Attributes" dell'utente/gruppo di rifferimento (la trovi in Active Directory Users And Computers->Utente/gruppo di rifferimento-->Proprietà).
Oppure per ricavare i nomi utenti/gruppi cui sn stati mappati gli UID digita dal terminale:
Estrae il SID dall' UID e il nome dal SID precedentemente ricavato
(wbinfo si trova sotto la directory /bin dove hai installato samba; se compilato) oppure se lo hai installato tramite package semplicemente come segue:
Codice: Seleziona tutto
wbinfo --uid-to-sid=TUO UID Copia l'output del SID
wbinfo --sid-to-name=OUTPUT SID
Riceverai il nome dell'utente a cui è mappato quel UID, se non avrai nessun output significa che nessun utente ha UID citato.
Estrae il SID dal GID e il nome dal SID precedentemente ricavato:
Codice: Seleziona tutto
wbinfo --gid-to-sid=TUO GID Copia l'output del SID
wbinfo --sid-to-name=OUTPUT SID
Riceverai il nome del gruppo a cui è mappato quel GID, se non avrai nessun output significa che nessun gruppo ha quel GID citato.
2) Se L'UID/GID 20000 è stato asegnato ad un utente/gruppo sono state applicate corettamente le ACL alla share di rete nella TAB "Condivisione" e "Sicurezza"?
3)Com'è formata la struttura della share dove vengono depositati i profili degli utenti; e come sono state impostate le autorizzazioni?
Sarebbe utile in oltre avere degli screenshot da RSAT delle TAB "Condivisione" e "Sicurezza" in modo da verificare se i permessi sono impostati correttamente.
Facci sapere
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 10:53
da fieraf
come allego lo screenshot?
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 11:02
da luca33
C'è l'apposita TAB allegati quando scrivi il messaggio.
Se ti è possibile cattura solo la finestra dove sn indicati i permessi così da ridurre le dimensioni del file allegato.
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 11:08
da fieraf
ciao.
Codice: Seleziona tutto
root@servidor:~# wbinfo --uid-to-sid=10000
S-1-5-21-3935193981-1540407314-2233913352-1106
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-1106
ESIGMAN\raf 1
root@servidor:~# wbinfo --gid-to-sid=20000
S-1-5-21-3935193981-1540407314-2233913352-513
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-513
ESIGMAN\Domain Users 2
allego gli screenshots( sono in spagnolo ma non credo sia un problema)
Nella tab condivisione:
ho aggiunto il grupo domain users altrimenti non vedevo la share al login utente e ha solo permessi di lettura
il grupo domain admin ha controllo totale
nell atb sicurezza ho seguito il wiki e il grupo domain users a solo permessi per attraversare la cartella e mostrare cartelle applicato solo alla radice
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 11:12
da fieraf
ps: gli uid e gid li ho assegnati direttamente con rsat quando ho creato l'utente
posto la parte del smb.conf
Codice: Seleziona tutto
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
idmap config ESIGMAN:backend = ad
idmap config ESIGMAN:schema_mode = rfc2307
idmap config ESIGMAN:range = 10000-29999
idmap config *:backend = tdb
idmap config *:range = 50000-60000
# Use home directory and shell information from AD
winbind nss info = rfc2307
[home]
path = /ad_home
read only = No
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 11:26
da luca33
fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4726102#p4726102][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:ciao.
Codice: Seleziona tutto
root@servidor:~# wbinfo --uid-to-sid=10000
S-1-5-21-3935193981-1540407314-2233913352-1106
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-1106
ESIGMAN\raf 1
root@servidor:~# wbinfo --gid-to-sid=20000
S-1-5-21-3935193981-1540407314-2233913352-513
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-513
ESIGMAN\Domain Users 2
allego gli screenshots( sono in spagnolo ma non credo sia un problema)
Nella tab condivisione:
ho aggiunto il grupo domain users altrimenti non vedevo la share al login utente e ha solo permessi di lettura
il grupo domain admin ha controllo totale
nell atb sicurezza ho seguito il wiki e il grupo domain users a solo permessi per attraversare la cartella e mostrare cartelle applicato solo alla radice
mmmmm
ok gli utenti e i gruppi ci sn e sn mappati...ma quindi profili vengo creati con delle sotto directory? ognuna con il proprio username?
fai uno screenshot anche della lista di tt permessi "Speciali" di "Domain Users" " CREATOR OWNER" e "CREATOR GROUP"
fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4726103#p4726103][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:ps: gli uid e gid li ho assegnati direttamente con rsat quando ho creato l'utente
posto la parte del smb.conf
Codice: Seleziona tutto
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
idmap config ESIGMAN:backend = ad
idmap config ESIGMAN:schema_mode = rfc2307
idmap config ESIGMAN:range = 10000-29999
idmap config *:backend = tdb
idmap config *:range = 50000-60000
# Use home directory and shell information from AD
winbind nss info = rfc2307
[home]
path = /ad_home
read only = No
ok questo va bene
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 11:42
da fieraf
il problema non é la cartella dei profili, quella funciona perfettamente (meno male
)
ogni utente ha la sua cartella in /profiles/...
il problema é solo la home
TAB SICUREZZA cartella home:
CREAT OWNER: applicati a solo sottocartella e files : permessi totali
CREATOR GROUP = CREATOR OWNER
Domain Users: applicati a " QUESTA CARTELLA" :
attraversare cartella /eseguire file
Mostrare cartella / leggere dati
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 12:17
da luca33
la risposta te la stai dando tu da solo in realtà...Se guardi bene vedi che "Domain User" può solo leggere ed eseguire nella Share "HOME" a cui hai fornito quei permessi...infatti se non ho capito male...l'utente non crea nessuna sottodirectory nella share HOME...giusto?
Se efettivamente è così e vuoi che ogni utente crei in automatico la propria home al primo login devi impostare le ACL di "Domain Users" dando i permessi di scrittura e scrittura attributi applicati a solo "questa cartella" della share root. quindi "HOME"
Ti cosiglio per un fattore di privacy e sicurezza di togliere del tutto i permessi al gruppo "CREATOR GROUP". la spiegazione è semplice...l'utente fa parte giustamente del gruppo"Domain Users" ed in un futuro qualsiasi altro utente presente in quel gruppo potrà visualizzare a sua volta ogni "HOME" di qualsiasi altro utente entrando semplicemente nella share di rete "HOME"...non penso che in ambito di produzione vada bene che i colleghi ci facciano i c****i degli altri...giusto?
anche perchè c'è sempre il fattore privacy e può anche essere perseguito l'admin...
fammi sapere se la soluzione funziona...nella mia infrastruttura le policy di restrizioni di accesso alle home share sono state impostate in questo modo...
Attendo riscontri
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 14:17
da fieraf
Tutto risolto
Spiego come
nella TAB di condivisione il grupo "domain users" ha controllo totale , altrimenti non si mostra la cartella al login utente.
Non ci sono problema di sicurezza perche nella TAB di sicurezza ha solo peremssi di attraversare e mostrare cartelle
Quando l'utente fa login , ls share "home" si mostra e si possono vedere le cartelle, ma solo si puó entrare nella propria
allego screenshoot
Ma come si fa a mettere risolto al post?
una volta si faceva, ma non ricordo più
grazie luca33 per le diritte
nel server anche se non mi piace molto perche il propietario é root
nella cartella home le cartelle si creano cosí
Codice: Seleziona tutto
root@servidor:/ad_home# ls -l
total 16
drwxrwx---+ 2 root 20000 4096 feb 25 14:50 raffa
drwxrwx---+ 3 root 20000 4096 feb 25 14:56 sara
e il loro contenuto si che ha il uid del utente
Codice: Seleziona tutto
root@servidor:/ad_home# ls -l sara
total 12
drwxrwx---+ 2 10001 20000 4096 feb 25 14:56 Nueva carpeta
-rwxrwx---+ 1 10001 20000 0 feb 25 14:26 Nuevo documento de texto.txt
se sai come migliorare questo sarebbe perfetto
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 14:23
da fieraf
lato client con login utente rfiengo
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 14:59
da luca33
Di nulla figurati....ultimo consiglio...non dare controllo completo ai "Domain Users" ma solo a "Domain Admins"...Domain User...solo lettura e scrittura....Ragione?...Solito...Safety before everything
...non si sa mai cosa possono combinare gli utenti
P.S per modificare il titolo del post....se non sbaglio basta editare il titolo nel primo POST che hai inviato....quindi da "samba4 AD problema scrittura home utente o share in genere" a "[RISOLTO]samba4 AD problema scrittura home utente o share in genere"
se hai bisogno di altro contattami pure
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 15:02
da fieraf
se do sola lettura non si creano le cartelle degli utenti se vedi tre post sopra le cartelle degli utenti nella root le crea prprio il grupo Domain Users
sai come migliorare questo?
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 15:14
da luca33
devi dare anche scrittura altrimenti è normale che non riesca a scrivere...cmq lo screen è dei permessi della share dell'utente "SYSTEM" non "Domain Users"
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 16:03
da fieraf
niente da fare anche se nella TAB "sicurezza" do i permessi di scrittura e nella TAB "Condivisione" non do permesso totale, si crea la cartella dell'utente ma non si puo scrivere.
mistero
seguiró investigando e se sará necesario aggiorneró il post
per adesso resto con la soluzione adottata.
se hai suggerimenti sono benvenuti.
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 17:17
da luca33
Ok...come ultima tentativo prova a seguire gli screen che ti ho allegato...questi vanno impostati nella TAB sicurezza..per quanto riguarda la TAB condivisione imposta così:
SYSTEM: Controllo completo
Domain Admins: Controllo Completo
Domain Users: Lettura, Scrittura
Alla fine di tutto dovresti trovarti nella TAB security con questi risultati:
SYSTEM:Controllo Completo
Domain Admins: Controllo Completo
Creator Owner: Speciale
Domain Users: Speciale
Ignora l'utente root che vedi nei miei screen xk nella mia infrastruttura il FILE SERVER è un server Membro di AD...non il DC.
Così in teoria dovrebbe andare...devi cancellare le cartelle create in precedenza xro...fai una cosa pulita
attendo riscontri
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: mercoledì 25 febbraio 2015, 19:26
da fieraf
Ok. Domani mattina ci provo e ti faccio sapere. Cuando tutto sarà ok anch'io farò in file server separato come te. A domani
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: giovedì 26 febbraio 2015, 12:40
da fieraf
ciao
Tutto risolto "spero" ,a differenza tua al gruppo domain usrs nella tab sicurezza ho solo dato i permessi di attraversare la cartella (vedi screenshots)
adesso nel server la cartella home dell utente si crea con il sid del administrator e gid di domain users:
Codice: Seleziona tutto
root@servidor:~# ls -l /ad_home/
total 16
drwxrwx---+ 2 10003 20000 4096 feb 26 12:25 ciro
drwxrwx---+ 3 10003 20000 4096 feb 26 12:15 rob
i permessi estesi sulla cartella utente:
Codice: Seleziona tutto
getfacl: Removing leading '/' from absolute path names
# file: ad_home/ciro
# owner: 10003
# group: 20000
user::rwx
user:10003:rwx
user:10005:rwx
group::---
group:20000:---
group:20001:rwx
group:20002:rwx
mask::rwx
other::---
default:user::rwx
default:user:10003:rwx
default:user:10005:rwx
default:group::---
default:group:20000:---
default:group:20001:rwx
default:group:20002:rwx
default:mask::rwx
default:other::---
l'utente non puo scrivere/eliminare cartelle/file nella root /ad_home, pero si que púo nella sua
allego screeshot dei permessi
Il login windows é effettuato dall'utente ciro
se pensi que va bene dai un ok o dimmi se devo cambaire qualcosa
Grazie per tutto
Sicuramente(spero di no
) scrivero per chiedere aiuto per il server membro doi dominio come il tuo
Re: samba4 AD problema scrittura home utente o share in gene
Inviato: giovedì 26 febbraio 2015, 14:44
da luca33
fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4726658#p4726658][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:ciao
Tutto risolto "spero" ,a differenza tua al gruppo domain usrs nella tab sicurezza ho solo dato i permessi di attraversare la cartella (vedi screenshots)
adesso nel server la cartella home dell utente si crea con il sid del administrator e gid di domain users:
Codice: Seleziona tutto
root@servidor:~# ls -l /ad_home/
total 16
drwxrwx---+ 2 10003 20000 4096 feb 26 12:25 ciro
drwxrwx---+ 3 10003 20000 4096 feb 26 12:15 rob
i permessi estesi sulla cartella utente:
Codice: Seleziona tutto
getfacl: Removing leading '/' from absolute path names
# file: ad_home/ciro
# owner: 10003
# group: 20000
user::rwx
user:10003:rwx
user:10005:rwx
group::---
group:20000:---
group:20001:rwx
group:20002:rwx
mask::rwx
other::---
default:user::rwx
default:user:10003:rwx
default:user:10005:rwx
default:group::---
default:group:20000:---
default:group:20001:rwx
default:group:20002:rwx
default:mask::rwx
default:other::---
l'utente non puo scrivere/eliminare cartelle/file nella root /ad_home, pero si que púo nella sua
allego screeshot dei permessi
Il login windows é effettuato dall'utente ciro
se pensi que va bene dai un ok o dimmi se devo cambaire qualcosa
Grazie per tutto
Sicuramente(spero di no) scrivero per chiedere aiuto per il server membro doi dominio come il tuo
mmmm
secondo me c'è ancora qualche cosa che non va....il fatto è che la cartella "HOME" con l'account name deve necessariamente avere come proprietario l'UID dell'utente che effettua il login...non è che hai creato precedentemente la cartella home di ogni utente tramite administrator? oppure che faccia parte del gruppo "domain admins"?inoltre non è che hai delle UID doppie x caso?cioè assegnate erroneamente a più utenti?
...controlla bene xk ci potrebbero essere dei problemi di permessi più in la col tempo....l'unica cosa che non riesco a capire è x quale motivo vuoi che gli utenti del gruppo "Domain Users" abbiano solo i permessi di vedere il contenuto della share e non possano scriverci dentro?
