[Samba-it] Force group e guest access...

Wed Dec 30 11:45:06 MST 2009

On Wed, 2009-12-30 at 17:17 +0100, Marco Gaiarin wrote:
> Innazitutto buona fine e buon inizio a tutti.

Innanzitutto, che versione di samba ? :-)

> Normalmente nelle mie configurazioni di samba utilizzo sia degli share
> ad accesso complesso, in cui uso le ACL, sia degli share ad accesso
> semplificato, stile il repository dei driver interno, dove normalmente
> tutti hanno accesso (guest abilitato) e solo un gruppo (il ced) scrive.
> 
> Ora, mi sono reso conto che le direttive 'guest ok = yes' e 'force
> group = +SANVITO\ced' sono incompatibili.
> Nel senso che:
> 
> 1) in share dove guest ok = no, possono accedere solo utenti
>  autenticati e force group funziona sia con il + (che dalla manpage
> sostanzialmente indica che 'usa il gruppo solo se è uno dei gruppi
> dell'utente') che senza.
> 
> 2) in share con guest ok = yes, se accede un utente autenticato funziona
>  tutto senza alcun problema.
> 
> 3) in share con con guest ok = yes e force group settato, l'utente
>  guest non ha accesso, l'errore server side è:
> 	[2009/12/23 09:43:57,  0] smbd/service.c:make_connection_snum(989)
> 	  make_connection: connection to print$ denied due to security descriptor.

print$ ?
qual'é l'errore per lo share [wpkg] ?

> [ho googolato, non ho security descriptor settati e nel dubbio li ho
> piallati.]
> 
> 
> Esempio di smb.conf:
> 
>  # WPKG
>  #
>  [wpkg]
>         comment = WPKG Automated Software Deploying System
>         path = /srv/wpkg
>         guest ok = Yes
>         browseable = No
>         share modes = No
>         writable = No
>         force create mode = 0664
>         force directory mode = 2775
> 	#force group = +SANVITO\ced
>         write list = SANVITO\root +SANVITO\domadms +SANVITO\ced
> 
> Se tolgo il commento, WPKG smette di funzionare.

L'utente guest non é mebro del gruppo, quindi se usi +nome non va.
Prova senza il +

> Qualcuno mi sa dire perchè? Grazie.

Se leggi la manpage di "force group" ti dice che quando usi il + solo
utenti che sono membri di quel gruppo funzionano:

        "For example, the setting force group = +sys means that only
        users who are already in group sys will have their default
        primary group assigned to sys when accessing this Samba share.
        All other users will retain their ordinary primary group."

> PS: en passant... ho visto che ho messo nello share [netlogon] guest ok
> = Yes, ma non ha molto senso, vero? a netlogon si accede solo e
> soltanto se autenticati, giusto?

Generalmente netlogon é utile solo al logon ad un dominio quindi da
autenticati.

Simo.