[Samba-it] Problema con ACL.
Meli Marco
Marco.Meli at gknsintermetals.com
Fri Oct 14 17:10:02 MDT 2005
Scusa se posto di nuovo il problema, ma come si fa a rispondere a
quello
precedente? Non ho ricevuto + nessuna mail ...
Comunque:
Le ACL non funzionano significa che ho una struttura di questo tipo:
/data
/user
/utente_uno
/utente_due
/utente_tre ...
In pratica nella cartella /user ho tutte le cartelle personali per
ciascun
utente, con relativi permessi settati trammite ACL dalle proprietà
delle
cartelle stesse(windows) da me amministratore.
Succede che ad installazione di samba ultimata collegata la samba box
in ads
ad un server AD di Chicago (net ads join -U adm_utente%***secret***) ed
avviati i demoni, l'utente_uno settando opportunamente i permessi sulla
propria cartella, riesce a vederla e a lavorarci.
Trascorsa mezzora lo stesso pc viene replicato anche sulla mia
struttura AD
(Milano) e da quel momento in poi l'utente_uno non sarà più in
grado di
vedere la propria cartella.
Forse perchè ora che il pc è replicato anche da me
dell'autenticazione se ne
occupa il mio server di Milano.
Se controllo lo status in SWAT winbind è ancora in grado di tradurre
l'utente che si è logato ed è quello giusto, cioè non è nobody
o qualsiasi
altro utente guest.
Comunque sotto ti indico le impostazioni che ho utilizzato nei diversi
file
di configurazione:
Smb.conf:
[global]
netbios name = MILLX03
socket options = IPTOS_LOWDELAY
unix charset = LOCALE
workgroup = GKNSMI
realm = SINTER.GKN.COM
security = ADS
password server = chiad01.sinter.gkn.com
encrypt passwords = yes
allow trusted domains = Yes
winbind use default domain = Yes
winbind separator = /
winbind enum users = Yes
winbind enum groups = Yes
idmap uid = 10000-100000
idmap gid = 10000-100000
hide unreadable = Yes
template shell = /bin/false
use sendfile = Yes
admin users = ***secret***
log file = /var/log/samba/log.%m
log level = 10 acls:10
max log size = 50
nt acl support = Yes
map acl inherit = Yes
[data]
comment = DATA repository
path = /data
read only = No
create mask = 0775
security mask = 0777
force security mode = 0
directory mask = 0775
directory security mask = 0777
force directory security mode = 0
dos filetimes = yes
/etc/nsswitch:
passwd: compat winbind
group: compat winbind
hosts: files lwres dns winbind
networks: files dns
/etc/krb5.conf:
[libdefaults]
default_realm = SINTER.GKN.COM
clockskew = 300
[realms]
SINTER.GKN.COM = {
kdc = chiad01.sinter.gkn.com
admin_server = chiad01.sinter.gkn.com
kpasswd_server = chiad01.sinter.gkn.com
}
[domain_realm]
.sinter.gkn.com = SINTER.GKN.COM
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log <FILE:/var/log/kdc.log>
kadmind = FILE:/var/log/kadmind.log
<FILE:/var/log/kadmind.log>
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
Nel frattempo ho installato la Suse 9.2, ma il problema è sempre lo
stesso,
la versione di kerberos che ora non è più MIT ma Heimdal è la
0.6.2-8.
L'orologio è sincronizzato con il kerberos server (chiad01).
Veniamo al punto, che i due server sono identici non ho potuto
constatarlo
personalmente, ci ho dovuto credere, ma a questo punto comincio ad
avere dei
dubbi:
Primo perchè non sono un asso di windows ed ho potuto controllare
solo i
servizi che girano e sono gli stessi, ma come posso controllare le
impostazioni di sicurezza?
I miei colleghi dicono che sono le stesse dato che le due macchine si
trovano nello stesso dominio e che quindi le policy vengono replicate,
ma
come posso verificarlo, magari con etheral (che non so usare)?
Spero che le indicazioni siano sufficienti a mettermi sulla buona
strada.
Saluti, grazie.
Marco.
--- StripMime Report -- processed MIME parts ---
multipart/alternative
text/plain (text body -- kept)
text/html
---
More information about the samba-it
mailing list