File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

1. File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 04/08/2016 - 16:49h

Prezados,
Estou com dificuldades para que o Samba reconheça as permissões cedidas aos grupos e usuários criados no AD.
Cenário:

DC1 = DC primário
DC2 = DC secundário + file server

Ambos rodando a versão 4.4.5 do Samba (Centos 7).

Quando eu adiciono permissão em uma pasta, utilizando um desktop Windows, eu consigo setar permissão para usuários e grupos do AD. Funciona normalmente.
O que eu preciso configurar para que os grupos e usuários do AD sejam reconhecidos nas permissões do Samba ?
No terminal, estou tentando ver as permissões através dos comandos abaixo:

getfacl /mnt/dados/share

O resultado é este:

getfacl: Removing leading '/' from absolute path names
# file: mnt/dados/share
# owner: 3000000
# group: users
user::rwx
user:3000016:rwx
group::r-x
group:users:r-x
group:3000000:rwx
group:3000016:rwx
mask::rwx
other::r-x
default:user::rwx
default:user:3000000:rwx
default:user:3000016:rwx
default:group::r-x
default:group:users:r-x
default:group:3000016:rwx
default:mask::rwx
default:other::r-x

Quando tento setar uma permissão:

setfacl -R -m default:group:"Domain Admins":rwx /mnt/dados/share
setfacl: Option -m: Argumento invalido near character 15

Segue meu smb.conf

Follows the smb.conf my DC2 (secondary DC + file server):

# Global parameters
[global]
bind interfaces only = Yes
interfaces = lo eth0
netbios name = SRV15
realm = DOMAIN.LOCAL
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
workgroup = DOMAIN
server role = active directory domain controller
comment =
log file = /var/log/samba/%m.log
log level = 1
#
# Default idmap config used for BUILTIN and local accounts/groups
idmap config *:backend = tdb
idmap config *:range = 2000-9999

# idmap config for domain DOMAIN
idmap config DOMAIN:backend = ad
idmap config DOMAIN:schema_mode = rfc2307
idmap config DOMAIN:range = 10000-99999

# Use settings from AD for login shell and home directory
winbind nss info = rfc2307

vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes

[netlogon]
path = /usr/local/samba/var/locks/sysvol/domain.local/scripts
read only = No

[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[dados]
comment = Share
path = /mnt/data/share
read only = No
browseable = Yes
inherit acls = Yes
inherit permissions = Yes


  


2. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD.

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 04/08/2016 - 21:30h

Duas coisas, NÃO e recomendado pelo "magnânimos" do Samba , ter File server junto com a Base DC, pode ter problemas, então recomendo que seu segundo DC seja alterado.

Altere as permissões dessa forma:( e tem mais algumas dicas)


# Exemplo de configuração
# Adicione ao final do arquivo smb.conf
[Teste]
path = /srv/samba/Teste
read only = no

# De permissões ao Grupo de Administradores
setfacl -R -m g:"Domain Admins":rwx /srv/samba/Teste
# Liste Permissões
getfacl /srv/samba/Teste

# Alterar permissões de usuário
setfacl -R -m u:"Domain Admins":rwx /srv/samba/Teste

# Apagar todas as permissões de forma recursiva
setfacl -R -b /srv/samba/Teste

#-------------------------------------------------------------------------------------#

"Linux is cool"


3. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 05/08/2016 - 08:40h

Ola Carlos,
Obrigado pelo contato.

Segundo informações de Marc Muehlfeld (integrante da equipe que desenvolve o Samba), respondeu exatamente a esta dúvida, quanto ao DC secundário também fazer papel de file server. O mesmo informa que não há problemas em o DC secundário ser file server também. Por isso montei o segundo DC com file server junto.
https://lists.samba.org/archive/samba/2016-July/201380.html

Segue o resultado dos comandos que vc informou:

# setfacl -R -m g:"Domain Admins":rwx /mnt/data/share
setfacl: Option -m: Argumento inválido near character 3

# getfacl /mnt/data/share
getfacl: Removing leading '/' from absolute path names
# file: mnt/data/share
# owner: 3000000
# group: users
user::rwx
user:3000016:rwx
user:3000066:r-x
group::r-x
group:users:r-x
group:3000000:rwx
group:3000016:rwx
group:3000066:r-x
mask::rwx
other::r-x
default:user::rwx
default:user:3000000:rwx
default:user:3000016:rwx
default:user:3000066:r-x
default:group::r-x
default:group:users:r-x
default:group:3000016:rwx
default:group:3000066:r-x
default:mask::rwx
default:other::r-x


Você teria mais alguma dica ?


4. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 05/08/2016 - 09:56h

Certo, sobre não usar DC como File Server, eles mesmo informam isso na Wiki:

https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controller


Whilst the Domain Controller seems capable of running as a full file server, it is suggested that organisations run a distinct file server to allow upgrades of each without disrupting the other. It is also suggested that medium-sized sites should run more than one DC. It also makes sense to have the DC's distinct from any file servers that may use the Domain Controllers. Additionally using distinct file servers avoids the idiosyncrasies in the winbindd configuration on the Active Directory Domain Controller. The Samba team does not recommend using a Samba-based Domain Controller as a file server, and recommend that users run a separate Domain Member with file shares.


Mas enfim, esse não é o foco no tópico né(mas eu não uso junto hehe)

Estranho esse erro....

Posta a saída do comando:


cat /proc/mounts


#-------------------------------------------------------------------------------------#

"Linux is cool"


5. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD.

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 05/08/2016 - 10:16h

Com relação a recomendação sobre DC e file server, estranho um falar uma coisa, e o wiki dizer outra.
Mas tudo bem, esta parte é facil de resolver. Posso ver isso adiante.

Segue:

# cat /proc/mounts
rootfs / rootfs rw 0 0
sysfs /sys sysfs rw,nosuid,nodev,noexec,relatime 0 0
proc /proc proc rw,nosuid,nodev,noexec,relatime 0 0
devtmpfs /dev devtmpfs rw,nosuid,size=1442940k,nr_inodes=360735,mode=755 0 0
securityfs /sys/kernel/security securityfs rw,nosuid,nodev,noexec,relatime 0 0
tmpfs /dev/shm tmpfs rw,nosuid,nodev 0 0
devpts /dev/pts devpts rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000 0 0
tmpfs /run tmpfs rw,nosuid,nodev,mode=755 0 0
tmpfs /sys/fs/cgroup tmpfs ro,nosuid,nodev,noexec,mode=755 0 0
cgroup /sys/fs/cgroup/systemd cgroup rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd 0 0
pstore /sys/fs/pstore pstore rw,nosuid,nodev,noexec,relatime 0 0
cgroup /sys/fs/cgroup/cpu,cpuacct cgroup rw,nosuid,nodev,noexec,relatime,cpuacct,cpu 0 0
cgroup /sys/fs/cgroup/freezer cgroup rw,nosuid,nodev,noexec,relatime,freezer 0 0
cgroup /sys/fs/cgroup/blkio cgroup rw,nosuid,nodev,noexec,relatime,blkio 0 0
cgroup /sys/fs/cgroup/memory cgroup rw,nosuid,nodev,noexec,relatime,memory 0 0
cgroup /sys/fs/cgroup/net_cls cgroup rw,nosuid,nodev,noexec,relatime,net_cls 0 0
cgroup /sys/fs/cgroup/cpuset cgroup rw,nosuid,nodev,noexec,relatime,cpuset 0 0
cgroup /sys/fs/cgroup/devices cgroup rw,nosuid,nodev,noexec,relatime,devices 0 0
cgroup /sys/fs/cgroup/hugetlb cgroup rw,nosuid,nodev,noexec,relatime,hugetlb 0 0
cgroup /sys/fs/cgroup/perf_event cgroup rw,nosuid,nodev,noexec,relatime,perf_event 0 0
configfs /sys/kernel/config configfs rw,relatime 0 0
/dev/mapper/centos-root / xfs rw,relatime,attr2,inode64,noquota 0 0
systemd-1 /proc/sys/fs/binfmt_misc autofs rw,relatime,fd=30,pgrp=1,timeout=300,minproto=5,maxproto=5,direct 0 0
mqueue /dev/mqueue mqueue rw,relatime 0 0
hugetlbfs /dev/hugepages hugetlbfs rw,relatime 0 0
debugfs /sys/kernel/debug debugfs rw,relatime 0 0
sunrpc /var/lib/nfs/rpc_pipefs rpc_pipefs rw,relatime 0 0
nfsd /proc/fs/nfsd nfsd rw,relatime 0 0
/dev/sdb1 /mnt/dados xfs rw,relatime,attr2,inode64,noquota 0 0
/dev/sda1 /boot xfs rw,relatime,attr2,inode64,noquota 0 0
tmpfs /run/user/42 tmpfs rw,nosuid,nodev,relatime,size=291656k,mode=700,uid=42,gid=42 0 0
fusectl /sys/fs/fuse/connections fusectl rw,relatime 0 0
gvfsd-fuse /run/user/42/gvfs fuse.gvfsd-fuse rw,nosuid,nodev,relatime,user_id=42,group_id=42 0 0
tmpfs /run/user/0 tmpfs rw,nosuid,nodev,relatime,size=291656k,mode=700 0 0



6. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 05/08/2016 - 10:25h

Poste a saida do:


cat /etc/fstab

#-------------------------------------------------------------------------------------#

"Linux is cool"


7. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 05/08/2016 - 10:34h

/dev/mapper/centos-root / xfs defaults,acl,user_xattr 0 0
UUID=1d21545b-049f-4ef8-aa22-1ca583ac7d90 /boot xfs defaults 0 0
/dev/mapper/centos-swap swap swap defaults 0 0
LABEL=dados /mnt/dados xfs defaults 0 0

Na linha abaixo, se eu acrescentar "defaults,acl,user_xattr", o sistema da erro na montagem:

LABEL=dados /mnt/dados xfs defaults 0 0

Este disco se refere ao disco que eu quero compartilhar.


8. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 05/08/2016 - 12:36h

ricardodru escreveu:

/dev/mapper/centos-root / xfs defaults,acl,user_xattr 0 0
UUID=1d21545b-049f-4ef8-aa22-1ca583ac7d90 /boot xfs defaults 0 0
/dev/mapper/centos-swap swap swap defaults 0 0
LABEL=dados /mnt/dados xfs defaults 0 0

Na linha abaixo, se eu acrescentar "defaults,acl,user_xattr", o sistema da erro na montagem:

LABEL=dados /mnt/dados xfs defaults 0 0

Este disco se refere ao disco que eu quero compartilhar.


O diretório é /mnt/data/share ou /mnt/dados/share ?

#-------------------------------------------------------------------------------------#

"Linux is cool"


9. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 05/08/2016 - 12:44h

o correto é : /mnt/data/share

o texto saiu alterado.
Corrigi o texto abaixo.

/dev/mapper/centos-root / xfs defaults,acl,user_xattr 0 0
UUID=1d21545b-049f-4ef8-aa22-1ca583ac7d90 /boot xfs defaults 0 0
/dev/mapper/centos-swap swap swap defaults 0 0
LABEL=dados /mnt/data xfs defaults 0 0

Na linha abaixo, se eu acrescentar "defaults,acl,user_xattr", o sistema da erro na montagem:

LABEL=dados /mnt/data xfs defaults 0 0


10. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 05/08/2016 - 12:46h

Certo, com XFS não precisa alterar nada no fstab.

Poste a saída do comando:


getent group "Domain Admins"

#-------------------------------------------------------------------------------------#

"Linux is cool"


11. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Ricardo Pardim Claus
ricardodru

(usa CentOS)

Enviado em 05/08/2016 - 13:49h

Consegui achar a solução.
Acrescentei estas linhas no meu smb.conf

winbind enum users = yes
winbind enum groups = yes

Criei estes links:

ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib64/
ln -s /lib64/libnss_winbind.so.2 /lib64/libnss_winbind.so

Agora, quando rodo o comando "getent group" aparece todos os grupos inclusive os grupos criados no AD.

Problema resolvido.

Obrigado Carlos pelo apoio.
Abraço!


12. Re: File Server Samba 4 reconhecer permissões de usuários e grupos do AD. [RESOLVIDO]

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 05/08/2016 - 14:13h

Show de bola, isso havia pedido no outro comando, para ver se estava sendo listado de forma correta.
Abraço
#-------------------------------------------------------------------------------------#

"Linux is cool"



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts