Samba + ad problema acesso a pastas

removido
(usa Nenhuma)

Enviado em 04/07/2010 - 17:39h

Pessoal,

Configurei o samba + ad no centos para poder mapear as pastas do servidor ad e gerar o backup na fita dat que está no centos..perfeito!!!

mas estou precisando compartilhar uma pasta no samba para os usuários do ad terem acesso:

tenho a pasta /home/samba/dados..coloquei permissão total para o usuário administrator do AD windows server 2003 sendo o dono da pasta e depois chmod 777 -R /home/samba/dados dando permissão total e mesmo assim dá acesso negado:

[root@backup ~]# ls -l /home/samba
total 8
drwxrws--- 3 NOVAF+administrator BUILTIN+administrators 4096 Jul 1 19:08 dados

log do acesso da máquina que estou logado como administrator do dominio novaf:

[root@backup ~]# tail -f /var/log/samba/log.10.0.1.2
[2010/07/01 19:20:42, 0] smbd/service.c:make_connection_snum(1013)
'/home/samba/dados' does not exist or permission denied when connecting to [dados] Error was Permissão negada
[2010/07/01 19:20:44, 0] smbd/service.c:make_connection_snum(1013)
'/home/samba/dados' does not exist or permission denied when connecting to [dados] Error was Permissão negada


meu smb.conf:

[global]
workgroup = NOVAF
realm = NOVAF.LOCAL
server string = Servidor Linux
security = user
;security = share
netbios name = backup
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind gid = 10000-20000
os level = 20
winbind enum groups = yes
;socket address = 10.0.1.2
password server = 10.0.1.2
domain master = no
local master = no
domain logons = no
preferred master = no
winbind separator = +
;winbind use default domain = yes
max log size = 50
template homedir = /home/%D/%U
log file = /var/log/samba/log.%m
encrypt passwords = yes
dns proxy = no
wins server = 10.0.1.2
wins proxy = no

keepalive = 20
read raw = yes
write raw = yes
oplocks = yes
max xmit = 16384


[Dados]

comment = Dados
path = /home/samba/dados
valid users = NOVAF+administrator
read only = yes


já tentei uma coisa mais completa que uso em um pdc samba mas não mudou nada...na verdade quando coloco o valid admins consigo acessar mas não consigo fazer nada dentro da pasta:


[exampleshare]
comment = Pasta de teste
path = /home/samba/dados
browseable = yes
read only = yes
inherit acls = yes
inherit permissions = yes
create mask = 700
directory mask = 700
force create mode = 777
force directory mode = 777
valid users = NOVAF+administrator,@NOVAF+campo manga,@NOVAF+pack manga,NOVAF+rose,
writable = no
write list = NFAREC+fernando.galvao,@BUILTIN+administrators,NFAREC+administrator
admin users = @BUILTIN+administrators,

então assim a pasta existe e tenho permissão total..usei uma vez essas mesmas consigurações no debian e funcionou normal.Falam para desativar o selinux do centos e isso já fo feito.

Aguardo a ajuda de vcs.

removido
(usa Nenhuma)

Enviado em 06/07/2010 - 13:41h

ninguém?

regisperito
(usa Outra)

Enviado em 06/07/2010 - 16:28h

Olá amigo. calma. O seu problema se chama selinux =)
Vc fala que ja liberou, mas será que configurou de modo a quando reiniciar o selinux ainda permitir acesso a pasta ?

pra ver as opções do selinux com samba , vc usa
#getsebool -a | grep samba

e

#getsebool -a | grep smb

vc pode setar a opção pra ficar ativa mesmo depois da reinicializaçao com o seguinte

setsebool -P <opção do samba> on

=)

outra , o wirtable ali no exampleshare tem que está "yes"
e o read only tem que está "no"
writable: eh como se fosse "escrevivel" haha
e read only: quer dizer que a pasta esta como "somente leitura"

espero que isso ajude =)

removido
(usa Nenhuma)

Enviado em 06/07/2010 - 17:23h

Muito obrigado por responder mas vamos lá:

eu desconfio do selinux mesmo pois não tem outra coisa que possa fazer isso...

dei o comando:


[root@backup ~]# getsebool -a | grep samba
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_share_nfs --> off
use_samba_home_dirs --> off
virt_use_samba --> off

então ativei:
[root@backup ~]# getsebool -a | grep samba
samba_domain_controller --> off
samba_enable_home_dirs --> off
samba_export_all_ro --> off
samba_export_all_rw --> off
samba_share_nfs --> off
use_samba_home_dirs --> off
virt_use_samba --> off
[root@backup ~]# setsebool -P samba_domain_controller on
[root@backup ~]# setsebool -P samba_enable_home_dirs on
[root@backup ~]# setsebool -P samba_export_all_ro on
[root@backup ~]# setsebool -P samba_export_all_rw on
[root@backup ~]# setsebool -P samba_share_nfs on
[root@backup ~]# setsebool -P use_samba_home_dirs on
[root@backup ~]# setsebool -P virt_use_samba on
[root@backup ~]# getsebool -a | grep samba
samba_domain_controller --> on
samba_enable_home_dirs --> on
samba_export_all_ro --> on
samba_export_all_rw --> on
samba_share_nfs --> on
use_samba_home_dirs --> on
virt_use_samba --> on


então fui testar na pasta teste:

drwxrws--- 2 NOVAF+administrator BUILTIN+users 4096 Jul 1 14:54 teste


e no log entrando como administrator:

[2010/07/06 17:16:44, 0] smbd/service.c:make_connection_snum(1013)
'/home/teste' does not exist or permission denied when connecting to [teste] Error was Permissão negada

mesmo erro.

O que pode está faltando?

meu compartilhamento de teste está assim:

[teste]
comment = Pasta de teste
path = /home/teste/
browseable = yes
read only = no
inherit permissions = yes
create mask = 700
directory mask = 700
force create mode = 777
force directory mode = 777
valid users = NOVAF+administrator writable = yes
write list = NOVAF+administrator

regisperito
(usa Outra)

Enviado em 06/07/2010 - 19:06h

pronto, joinha.

olha, vou te passar como ta um compartilhamento meu aqui




[exemplo]
path = /home/testando
writable = yes
browseable = yes
valid users = testando


so lembrando que eu adicionei o usuario testando
#useradd testando
#smbpasswd -a testando

pronto.
dê permissao ao usuario na pasta que vc qeur compartilhar. acredito que irá funcionar
valeu =D

removido
(usa Nenhuma)

Enviado em 06/07/2010 - 20:23h

Blz..criei um compartilhamento igual ao seu mas o erro continua.Só uma coisa...não tenho como criar o usuário no linux pois meu sanmba é integrado ao AD do windows 2003 entende?
OBS.: tenho um samba com centos em outro servidor de dominio PDC e funciona de boa o problema está nesse que está integrado ao domínio active directory do windows.



meu smb.conf:

workgroup = NOVAF


realm = NOVAF.LOCAL
server string = Servidor Linux
security = ads
netbios name = backup
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
idmap uid = 10000-20000
winbind enum users = yes
winbind gid = 10000-20000
os level = 20
winbind enum groups = yes
;socket address = 10.0.1.2
password server = application.novaf.local
domain master = no
local master = no
domain logons = no
preferred master = no
winbind separator = +
;winbind use default domain = yes
max log size = 50
template homedir = /home/%D/%U
log file = /var/log/samba/log.%m
encrypt passwords = yes
dns proxy = no
wins server = 10.0.1.2
wins proxy = no

keepalive = 20
read raw = yes
write raw = yes
oplocks = yes
max xmit = 16384


[exemplo]
path = /home/testando
writable = yes
browseable = yes
valid users = NOVAF+administrator


mostrando usuarios do ad:

[root@backup ~]# wbinfo -u
NOVAF+guest
NOVAF+administrator
NOVAF+krbtgt
NOVAF+fernando.galvao
NOVAF+iusr_application
NOVAF+rafael.esdras
NOVAF+procenge
NOVAF+saul
NOVAF+rose
NOVAF+neide
NOVAF+marinalva
NOVAF+iwam_application
NOVAF+natasha
NOVAF+josiel
NOVAF+genildo
NOVAF+ademario
etc...


e o acesso negado continua.Eu tinha notado que o selinux continuava habilitado mesmo eu desabilitando entâo desabilitei na mâo e agora
ele tá off mesmo:

[root@backup ~]# sestatus
SELinux status: disabled

O que pode ser? no Debian uso essas mesmas configurações em um cliente e funciona normal.

regisperito
(usa Outra)

Enviado em 06/07/2010 - 23:00h

Bem, nunca configurei um AD na vida... se vc puder me explicar como funciona pra eu entender , ficaria mais facil =D

eu dei uma lida aqui sobre o assunto pra me situar.

tipo, o windows 2003 é quem controla as permissoes, ou é o seu servidor samba ?
ah, qual versão do samba vc está utilizando ?

o/

removido
(usa Nenhuma)

Enviado em 07/07/2010 - 07:07h

bom..a diferença é que os usuários vem do AD e não do linux...quem continua pdc da rede é o windows mas as permissões das pastas no linux é feita no samba e as permissÕes das pastas no windows é feita no windows Ad entende?

Na verdade tenho um debian em um cliente rodando dessa forma e consigo dar permissão mas no centos estou com esse problema.

no debian a versão do samba é 3.4 no centos 3.0.33

regisperito
(usa Outra)

Enviado em 07/07/2010 - 08:44h

Bem. pelo que vejo na configuraçao do sambam ta tudo Ok.
ja setou ownar pra o usuario a pasta que vc quer compartilhar
chown -R usuario:usuario /<caminho da pasta>
?

Olha, eu nao sou muito por dentro do assunto, mas estou aproveitando a sua duvida pra estudar. veja um artigo aqui do VOL muito interessante. compare o arquivo de configuraçao dele com o seu. O diabo está nos detalhes =)

http://www.vivaolinux.com.br/artigo/Linux-e-Active-Directory-%28Integrando-COMPLETAMENTE-sua-estacao...

regisperito
(usa Outra)

Enviado em 07/07/2010 - 09:37h

Amigo, uma coisa que me ajudou muito quando eu estava configurando um servidor no CentOS foi a documentaçao do mesmo. Muito boa =D

da uma olhada na parte do samba http://www.centos.org/docs/5/html/5.2/Deployment_Guide/ch-samba.html
PS: destaco essas duas partes da parte da documentaçao
1 - http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s2-samba-domain-controller.html

e logo depois
2 - http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s3-samba-pdc-tdbsam.html

espero que isso ajude =)

removido
(usa Nenhuma)

Enviado em 07/07/2010 - 09:52h

regisperito sim o dono da pasta é o usuário administrator e ele tem total permissão para ler e escrever.

Essa documentação do centos não fala sobre integração do samba como servidor de arquivos para os usuários windows.

olha a permissão:

drwxr-xr-x 2 NOVAF+administrator root 4096 Jul 6 20:10 testando

regisperito
(usa Outra)

Enviado em 07/07/2010 - 10:15h

roda um ls -l na pasta que vc quer compartilhar e posta aqui. pelo que li, o usuário tambem tem que ter permissão de acesso e isso tem que está setado nas permissões do servidor windows. isso ja foi configurado ?