samba4 AD problema scrittura home utente o share in generale

[fieraf]

ciao a tutti.
seguendo la guida del wiki di samba e
[url=http://%20http://blogging.dragon.org.uk/administering-ad-dc-via-windows/]samba4AD-DC[/url]
samba4AD-DC-in spagnolo
sono riuscito a configurare la home dell'utente all avvio della sessione, nel server viene creata la cartella con i permessi root:20000 drwxrwx---+
pero non riesco a scrivere (dice che non ho i permessi)
Nella guida di samba si fa riferimento all Authenticated user que pero non mi appare nel rsat di windows quando do i permessi alla cartella
Potete aiutarmi?
Grazie

[fieraf]

il log di samba dice
./source3/smbd/uid.c:153(check_user_share_access)
user ESIGMAN\raf connection to home denied due to share security descriptor.

le accl della cartela sono

Codice: Seleziona tutto

getfacl ad_home/raf/
# file: ad_home/raf/
# owner: root
# group: 20000
user::rwx
user:root:rwx
user:10000:rwx
user:3000002:rwx
group::rwx
group:20000:rwx
group:20001:rwx
group:20002:rwx
group:3000002:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:10000:rwx
default:user:3000002:rwx
default:group::rwx
default:group:20000:rwx
default:group:20001:rwx
default:group:20002:rwx
default:group:3000002:rwx
default:mask::rwx
default:other::---

[luca33]

ciao a tutti.
seguendo la guida del wiki di samba e
[url=http://%20http://blogging.dragon.org.uk/administering-ad-dc-via-windows/]samba4AD-DC[/url]
samba4AD-DC-in spagnolo
sono riuscito a configurare la home dell'utente all avvio della sessione, nel server viene creata la cartella con i permessi root:20000 drwxrwx---+
pero non riesco a scrivere (dice che non ho i permessi)
Nella guida di samba si fa riferimento all Authenticated user que pero non mi appare nel rsat di windows quando do i permessi alla cartella
Potete aiutarmi?
Grazie

eccoci qui.... mmm mi sa che qui c'è un pochina di confusione....all'ora andiamo per gradi....e facciamo un pochino di trubbleshooting
Domande:
1) L'UID/GID 20000 è presente nella TAB "UNIX Attributes" dell'utente/gruppo di rifferimento (la trovi in Active Directory Users And Computers->Utente/gruppo di rifferimento-->Proprietà).
Oppure per ricavare i nomi utenti/gruppi cui sn stati mappati gli UID digita dal terminale:

Estrae il SID dall' UID e il nome dal SID precedentemente ricavato
(wbinfo si trova sotto la directory /bin dove hai installato samba; se compilato) oppure se lo hai installato tramite package semplicemente come segue:

Codice: Seleziona tutto

wbinfo --uid-to-sid=TUO UID    Copia l'output del SID
wbinfo --sid-to-name=OUTPUT SID

Riceverai il nome dell'utente a cui è mappato quel UID, se non avrai nessun output significa che nessun utente ha UID citato.

Estrae il SID dal GID e il nome dal SID precedentemente ricavato:

Codice: Seleziona tutto

wbinfo --gid-to-sid=TUO GID    Copia l'output del SID
wbinfo --sid-to-name=OUTPUT SID

Riceverai il nome del gruppo a cui è mappato quel GID, se non avrai nessun output significa che nessun gruppo ha quel GID citato.

2) Se L'UID/GID 20000 è stato asegnato ad un utente/gruppo sono state applicate corettamente le ACL alla share di rete nella TAB "Condivisione" e "Sicurezza"?

3)Com'è formata la struttura della share dove vengono depositati i profili degli utenti; e come sono state impostate le autorizzazioni?

Sarebbe utile in oltre avere degli screenshot da RSAT delle TAB "Condivisione" e "Sicurezza" in modo da verificare se i permessi sono impostati correttamente.
Facci sapere

[fieraf]

come allego lo screenshot?

[luca33]

come allego lo screenshot?

C'è l'apposita TAB allegati quando scrivi il messaggio.
Se ti è possibile cattura solo la finestra dove sn indicati i permessi così da ridurre le dimensioni del file allegato.

[fieraf]

ciao.

Codice: Seleziona tutto

root@servidor:~# wbinfo --uid-to-sid=10000
S-1-5-21-3935193981-1540407314-2233913352-1106
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-1106
ESIGMAN\raf 1
root@servidor:~# wbinfo --gid-to-sid=20000
S-1-5-21-3935193981-1540407314-2233913352-513
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-513
ESIGMAN\Domain Users 2

allego gli screenshots( sono in spagnolo ma non credo sia un problema)

Nella tab condivisione:
ho aggiunto il grupo domain users altrimenti non vedevo la share al login utente e ha solo permessi di lettura
il grupo domain admin ha controllo totale

nell atb sicurezza ho seguito il wiki e il grupo domain users a solo permessi per attraversare la cartella e mostrare cartelle applicato solo alla radice

[fieraf]

ps: gli uid e gid li ho assegnati direttamente con rsat quando ho creato l'utente

posto la parte del smb.conf

Codice: Seleziona tutto

        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
        idmap_ldb:use rfc2307 = yes
    idmap config ESIGMAN:backend = ad
    idmap config ESIGMAN:schema_mode = rfc2307
    idmap config ESIGMAN:range = 10000-29999
    idmap config *:backend = tdb
    idmap config *:range = 50000-60000

    # Use home directory and shell information from AD
    winbind nss info = rfc2307


[home]
        path = /ad_home
        read only = No

[luca33]

ciao.

Codice: Seleziona tutto

root@servidor:~# wbinfo --uid-to-sid=10000
S-1-5-21-3935193981-1540407314-2233913352-1106
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-1106
ESIGMAN\raf 1
root@servidor:~# wbinfo --gid-to-sid=20000



S-1-5-21-3935193981-1540407314-2233913352-513
root@servidor:~# wbinfo --sid-to-name=S-1-5-21-3935193981-1540407314-2233913352-513
ESIGMAN\Domain Users 2

allego gli screenshots( sono in spagnolo ma non credo sia un problema)

Nella tab condivisione:
ho aggiunto il grupo domain users altrimenti non vedevo la share al login utente e ha solo permessi di lettura
il grupo domain admin ha controllo totale

nell atb sicurezza ho seguito il wiki e il grupo domain users a solo permessi per attraversare la cartella e mostrare cartelle applicato solo alla radice

mmmmm ok gli utenti e i gruppi ci sn e sn mappati...ma quindi profili vengo creati con delle sotto directory? ognuna con il proprio username?
fai uno screenshot anche della lista di tt permessi "Speciali" di "Domain Users" " CREATOR OWNER" e "CREATOR GROUP"

ps: gli uid e gid li ho assegnati direttamente con rsat quando ho creato l'utente

posto la parte del smb.conf

Codice: Seleziona tutto

        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
        idmap_ldb:use rfc2307 = yes
    idmap config ESIGMAN:backend = ad
    idmap config ESIGMAN:schema_mode = rfc2307
    idmap config ESIGMAN:range = 10000-29999
    idmap config *:backend = tdb
    idmap config *:range = 50000-60000

    # Use home directory and shell information from AD
    winbind nss info = rfc2307


[home]
        path = /ad_home
        read only = No

ok questo va bene

[fieraf]

il problema non é la cartella dei profili, quella funciona perfettamente (meno male )
ogni utente ha la sua cartella in /profiles/...
il problema é solo la home

TAB SICUREZZA cartella home:

CREAT OWNER: applicati a solo sottocartella e files : permessi totali
CREATOR GROUP = CREATOR OWNER
Domain Users: applicati a " QUESTA CARTELLA" :
attraversare cartella /eseguire file
Mostrare cartella / leggere dati

[luca33]

il problema non é la cartella dei profili, quella funciona perfettamente (meno male )
ogni utente ha la sua cartella in /profiles/...
il problema é solo la home

TAB SICUREZZA cartella home:

CREAT OWNER: applicati a solo sottocartella e files : permessi totali
CREATOR GROUP = CREATOR OWNER
Domain Users: applicati a " QUESTA CARTELLA" :
attraversare cartella /eseguire file
Mostrare cartella / leggere dati

la risposta te la stai dando tu da solo in realtà...Se guardi bene vedi che "Domain User" può solo leggere ed eseguire nella Share "HOME" a cui hai fornito quei permessi...infatti se non ho capito male...l'utente non crea nessuna sottodirectory nella share HOME...giusto?
Se efettivamente è così e vuoi che ogni utente crei in automatico la propria home al primo login devi impostare le ACL di "Domain Users" dando i permessi di scrittura e scrittura attributi applicati a solo "questa cartella" della share root. quindi "HOME"
Ti cosiglio per un fattore di privacy e sicurezza di togliere del tutto i permessi al gruppo "CREATOR GROUP". la spiegazione è semplice...l'utente fa parte giustamente del gruppo"Domain Users" ed in un futuro qualsiasi altro utente presente in quel gruppo potrà visualizzare a sua volta ogni "HOME" di qualsiasi altro utente entrando semplicemente nella share di rete "HOME"...non penso che in ambito di produzione vada bene che i colleghi ci facciano i c****i degli altri...giusto? anche perchè c'è sempre il fattore privacy e può anche essere perseguito l'admin...
fammi sapere se la soluzione funziona...nella mia infrastruttura le policy di restrizioni di accesso alle home share sono state impostate in questo modo...
Attendo riscontri

[fieraf]

Tutto risolto

Spiego come

nella TAB di condivisione il grupo "domain users" ha controllo totale , altrimenti non si mostra la cartella al login utente.
Non ci sono problema di sicurezza perche nella TAB di sicurezza ha solo peremssi di attraversare e mostrare cartelle
Quando l'utente fa login , ls share "home" si mostra e si possono vedere le cartelle, ma solo si puó entrare nella propria

allego screenshoot

Ma come si fa a mettere risolto al post?
una volta si faceva, ma non ricordo più

grazie luca33 per le diritte

nel server anche se non mi piace molto perche il propietario é root

nella cartella home le cartelle si creano cosí

Codice: Seleziona tutto

root@servidor:/ad_home# ls -l
total 16
drwxrwx---+ 2 root 20000 4096 feb 25 14:50 raffa
drwxrwx---+ 3 root 20000 4096 feb 25 14:56 sara

e il loro contenuto si che ha il uid del utente

Codice: Seleziona tutto

root@servidor:/ad_home# ls -l sara
total 12
drwxrwx---+ 2 10001 20000 4096 feb 25 14:56 Nueva carpeta
-rwxrwx---+ 1 10001 20000    0 feb 25 14:26 Nuevo documento de texto.txt

se sai come migliorare questo sarebbe perfetto

[fieraf]

lato client con login utente rfiengo

[luca33]

Tutto risolto

Spiego come

nella TAB di condivisione il grupo "domain users" ha controllo totale , altrimenti non si mostra la cartella al login utente.
Non ci sono problema di sicurezza perche nella TAB di sicurezza ha solo peremssi di attraversare e mostrare cartelle
Quando l'utente fa login , ls share "home" si mostra e si possono vedere le cartelle, ma solo si puó entrare nella propria

allego screenshoot

Ma come si fa a mettere risolto al post?
una volta si faceva, ma non ricordo più

grazie luca33 per le diritte

Di nulla figurati....ultimo consiglio...non dare controllo completo ai "Domain Users" ma solo a "Domain Admins"...Domain User...solo lettura e scrittura....Ragione?...Solito...Safety before everything ...non si sa mai cosa possono combinare gli utenti
P.S per modificare il titolo del post....se non sbaglio basta editare il titolo nel primo POST che hai inviato....quindi da "samba4 AD problema scrittura home utente o share in genere" a "[RISOLTO]samba4 AD problema scrittura home utente o share in genere"
se hai bisogno di altro contattami pure

[fieraf]

se do sola lettura non si creano le cartelle degli utenti se vedi tre post sopra le cartelle degli utenti nella root le crea prprio il grupo Domain Users
sai come migliorare questo?

[luca33]

se do sola lettura non si creano le cartelle degli utenti se vedi tre post sopra le cartelle degli utenti nella root le crea prprio il grupo Domain Users
sai come migliorare questo?

devi dare anche scrittura altrimenti è normale che non riesca a scrivere...cmq lo screen è dei permessi della share dell'utente "SYSTEM" non "Domain Users"

[fieraf]

niente da fare anche se nella TAB "sicurezza" do i permessi di scrittura e nella TAB "Condivisione" non do permesso totale, si crea la cartella dell'utente ma non si puo scrivere.
mistero

seguiró investigando e se sará necesario aggiorneró il post
per adesso resto con la soluzione adottata.
se hai suggerimenti sono benvenuti.

[luca33]

niente da fare anche se nella TAB "sicurezza" do i permessi di scrittura e nella TAB "Condivisione" non do permesso totale, si crea la cartella dell'utente ma non si puo scrivere.
mistero

seguiró investigando e se sará necesario aggiorneró il post
per adesso resto con la soluzione adottata.
se hai suggerimenti sono benvenuti.

Ok...come ultima tentativo prova a seguire gli screen che ti ho allegato...questi vanno impostati nella TAB sicurezza..per quanto riguarda la TAB condivisione imposta così:
SYSTEM: Controllo completo
Domain Admins: Controllo Completo
Domain Users: Lettura, Scrittura

Alla fine di tutto dovresti trovarti nella TAB security con questi risultati:
SYSTEM:Controllo Completo
Domain Admins: Controllo Completo
Creator Owner: Speciale
Domain Users: Speciale

Ignora l'utente root che vedi nei miei screen xk nella mia infrastruttura il FILE SERVER è un server Membro di AD...non il DC.
Così in teoria dovrebbe andare...devi cancellare le cartelle create in precedenza xro...fai una cosa pulita
attendo riscontri

[fieraf]

Ok. Domani mattina ci provo e ti faccio sapere. Cuando tutto sarà ok anch'io farò in file server separato come te. A domani

[fieraf]

ciao
Tutto risolto "spero" ,a differenza tua al gruppo domain usrs nella tab sicurezza ho solo dato i permessi di attraversare la cartella (vedi screenshots)


adesso nel server la cartella home dell utente si crea con il sid del administrator e gid di domain users:

Codice: Seleziona tutto

root@servidor:~# ls -l /ad_home/
total 16
drwxrwx---+ 2 10003 20000 4096 feb 26 12:25 ciro
drwxrwx---+ 3 10003 20000 4096 feb 26 12:15 rob

i permessi estesi sulla cartella utente:

Codice: Seleziona tutto

getfacl: Removing leading '/' from absolute path names
# file: ad_home/ciro
# owner: 10003
# group: 20000
user::rwx
user:10003:rwx
user:10005:rwx
group::---
group:20000:---
group:20001:rwx
group:20002:rwx
mask::rwx
other::---
default:user::rwx
default:user:10003:rwx
default:user:10005:rwx
default:group::---
default:group:20000:---
default:group:20001:rwx
default:group:20002:rwx
default:mask::rwx
default:other::---

l'utente non puo scrivere/eliminare cartelle/file nella root /ad_home, pero si que púo nella sua

allego screeshot dei permessi
Il login windows é effettuato dall'utente ciro
se pensi que va bene dai un ok o dimmi se devo cambaire qualcosa

Grazie per tutto
Sicuramente(spero di no ) scrivero per chiedere aiuto per il server membro doi dominio come il tuo

[luca33]

ciao
Tutto risolto "spero" ,a differenza tua al gruppo domain usrs nella tab sicurezza ho solo dato i permessi di attraversare la cartella (vedi screenshots)
adesso nel server la cartella home dell utente si crea con il sid del administrator e gid di domain users:

Codice: Seleziona tutto

root@servidor:~# ls -l /ad_home/
total 16
drwxrwx---+ 2 10003 20000 4096 feb 26 12:25 ciro
drwxrwx---+ 3 10003 20000 4096 feb 26 12:15 rob

i permessi estesi sulla cartella utente:

Codice: Seleziona tutto

getfacl: Removing leading '/' from absolute path names
# file: ad_home/ciro
# owner: 10003
# group: 20000
user::rwx
user:10003:rwx
user:10005:rwx
group::---
group:20000:---
group:20001:rwx
group:20002:rwx
mask::rwx
other::---
default:user::rwx
default:user:10003:rwx
default:user:10005:rwx
default:group::---
default:group:20000:---
default:group:20001:rwx
default:group:20002:rwx
default:mask::rwx
default:other::---

l'utente non puo scrivere/eliminare cartelle/file nella root /ad_home, pero si que púo nella sua
allego screeshot dei permessi
Il login windows é effettuato dall'utente ciro
se pensi que va bene dai un ok o dimmi se devo cambaire qualcosa
Grazie per tutto
Sicuramente(spero di no) scrivero per chiedere aiuto per il server membro doi dominio come il tuo

mmmm secondo me c'è ancora qualche cosa che non va....il fatto è che la cartella "HOME" con l'account name deve necessariamente avere come proprietario l'UID dell'utente che effettua il login...non è che hai creato precedentemente la cartella home di ogni utente tramite administrator? oppure che faccia parte del gruppo "domain admins"?inoltre non è che hai delle UID doppie x caso?cioè assegnate erroneamente a più utenti? ...controlla bene xk ci potrebbero essere dei problemi di permessi più in la col tempo....l'unica cosa che non riesco a capire è x quale motivo vuoi che gli utenti del gruppo "Domain Users" abbiano solo i permessi di vedere il contenuto della share e non possano scriverci dentro?