samba4 grupo permissão criar usuario

bhlucas
(usa CentOS)

Enviado em 23/07/2024 - 22:26h

Pessoal tudo bem,

Estou montando um servidor DC no samba 4 versao 4.20 no rock linux como da permissão em um grupo por exemplo T.I. que ele possa ter permissão para criar usuarios grupos mover ... etc. E não ter permissão para mexer na GPO e adicionar grupo nele mesmo como administrator

E uma outra pergunta o usuario pode logar em qualquer maquina se ele nao fazer logoff ou sair ele não pode logar em outra maquina, ter acesso uma sessão não pode logar em duas ou mais maquinas com mesmo usuario.uma sessão ativa.

Carlos_Cunha
(usa Linux Mint)

Enviado em 25/07/2024 - 11:59h

1- Naõa faço ideia de como "Delegar permissões" desse tipo, mas deve dar acredito, não sei se tão amplo assim, mas algo deve dar...

2 - Acredito que não tenha como fazer isso, pois o DC não tem como saber que o usuario esta ativo ou não, v c teria que ter uma "validador/heartbeat" que dia o status da maquina, sem isso acredito que não da para fazer isso, pois imagina que a PC desligue por N motivos, o usuario não fez logoff certo, se não tiver um validador o usuario numca mais vai poder logar, vide que não fez logoff e não informou que saiu, a ainda "parace" que esta ativo.
Não e algo trivial isso que vc quer, o comum e não permitir multiplos logins no mesmo PC(como em um RDS Server).



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

danniel-lara
(usa Fedora)

Enviado em 25/07/2024 - 13:01h

Configuração de Permissões para o Grupo T.I. no Samba 4.20
Para conceder permissões específicas a um grupo no Samba 4.20, você pode utilizar o samba-tool para gerenciar permissões de usuários e grupos. Aqui estão os passos para conceder permissões ao grupo T.I. para criar usuários, grupos e mover objetos, mas restringir o acesso a GPO e a capacidade de adicionar membros ao grupo Administrators:

Adicionar Permissões para Criar Usuários e Grupos:
Use o comando samba-tool para adicionar permissões de gerenciamento de usuários e grupos para o grupo T.I.

samba-tool group addmembers T.I. "<username>"



 

Depois, configure as ACLs no diretório do AD para permitir que o grupo T.I. possa criar e gerenciar usuários e grupos:

samba-tool dsacl set --allow="T.I.:full" --objectdn="CN=Users,DC=example,DC=com"

samba-tool dsacl set --allow="T.I.:full" --objectdn="CN=Groups,DC=example,DC=com"

 

Restringir Acesso à GPO:
Para restringir o acesso do grupo T.I. às GPOs, você precisa remover permissões específicas nas GPOs:

samba-tool dsacl set --deny="T.I.:read" --objectdn="CN=Policies,CN=System,DC=example,DC=com"

 

Restringir Adição ao Grupo Administrators:
Para evitar que membros do grupo T.I. possam adicionar usuários ao grupo Administrators, remova essas permissões:

samba-tool dsacl set --deny="T.I.:write" --objectdn="CN=Administrators,CN=Builtin,DC=example,DC=com"

 

Configuração de Permissões para o Grupo T.I. no Samba 4.20
Para conceder permissões específicas a um grupo no Samba 4.20, você pode utilizar o samba-tool para gerenciar permissões de usuários e grupos. Aqui estão os passos para conceder permissões ao grupo T.I. para criar usuários, grupos e mover objetos, mas restringir o acesso a GPO e a capacidade de adicionar membros ao grupo Administrators:

Adicionar Permissões para Criar Usuários e Grupos:
Use o comando samba-tool para adicionar permissões de gerenciamento de usuários e grupos para o grupo T.I.

samba-tool group addmembers T.I. "<username>"

 

Depois, configure as ACLs no diretório do AD para permitir que o grupo T.I. possa criar e gerenciar usuários e grupos:

samba-tool dsacl set --allow="T.I.:full" --objectdn="CN=Users,DC=example,DC=com"

samba-tool dsacl set --allow="T.I.:full" --objectdn="CN=Groups,DC=example,DC=com"

 

Restringir Acesso à GPO:
Para restringir o acesso do grupo T.I. às GPOs, você precisa remover permissões específicas nas GPOs:

samba-tool dsacl set --deny="T.I.:read" --objectdn="CN=Policies,CN=System,DC=example,DC=com"

 

Restringir Adição ao Grupo Administrators:
Para evitar que membros do grupo T.I. possam adicionar usuários ao grupo Administrators, remova essas permissões:

samba-tool dsacl set --deny="T.I.:write" --objectdn="CN=Administrators,CN=Builtin,DC=example,DC=com"

 

Restringir Login Simultâneo em Múltiplas Máquinas
Para garantir que um usuário não possa logar em múltiplas máquinas simultaneamente, você pode utilizar um script de logon que verifica a presença de uma sessão ativa antes de permitir um novo login. Isso pode ser feito com um script customizado de logon/logout.

Criar Script de Logon/Logout:
Crie um script que grava a presença de uma sessão ativa em um arquivo ou banco de dados quando o usuário faz login e remove a entrada quando o usuário faz logout.

# Script de Logon (logon.sh)

USERNAME=$1

SESSION_FILE="/var/run/samba_sessions/$USERNAME"



if [ -f "$SESSION_FILE" ]; then

    echo "User $USERNAME is already logged in."

    exit 1

else

    touch "$SESSION_FILE"

    exit 0

fi





 

# Script de Logout (logout.sh)

USERNAME=$1

SESSION_FILE="/var/run/samba_sessions/$USERNAME"



if [ -f "$SESSION_FILE" ]; then

    rm "$SESSION_FILE"

    exit 0

else

    echo "No active session found for $USERNAME."

    exit 1

fi



 

Integrar Scripts ao Samba:
Configure o Samba para executar os scripts de logon e logout.

No arquivo de configuração do Samba (smb.conf), adicione os caminhos para os scripts:

[global]

logon script = logon.sh %U

logoff script = logout.sh %U





 

Isso configurará seu servidor Samba para permitir que o grupo T.I. tenha permissões específicas e restringirá logins simultâneos para os usuários. Certifique-se de ajustar os caminhos e nomes de domínio (DC=example,DC=com) conforme sua configuração específica.

Carlos_Cunha
(usa Linux Mint)

Enviado em 25/07/2024 - 13:38h

Legal não sabia( mas achei que dava) de ter esse nivel de delegações de permissões.

Porém para segundo caso, ainda cai no problema que disse, como resolver ? Vide que isso so é checado somente no login e logoff, não algo constante(que seria de fato o melhor acredito e que maioria das soluções utiliza pára saber algo desse tipo).
Pois no exemplo que dei e algo bem comum de ocorrer, fora outras coisas que podem inviabilizar na estação enviar o status pro DC, ou ate mesmo o envio do login...(problema de rede/etc).
Pois além disso não a um validador que o status foi aplicado corretamente.
Muitas falhas que ao meu ver em um momento podem se dar dor de cabeça.

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#