Compartilhamento Samba4 não reconhece grupos criados no AD

kleber.caldas
(usa CentOS)

Enviado em 03/10/2016 - 16:15h

Criei um servidor no CentOS 7 para ser servidor de domínio e arquivos, configurei o samba 4, kerberos etc.

O ingresso de máquinas clientes está sendo efetuado, fui criar uma pasta na "TESTE" dentro de "/" para ver se os usuários de um grupo que eu criei no AD conseguiriam acessar e ter permissões de leitura/escrita/execução, porém, não estou conseguindo que as permissões seja validadas, mesmo colocando manualmente no "samba.conf" não estou tendo sucesso.

Fui testar utilizando pelo webmin (que está configurado corretamente) e quando tento adicionar um grupo, não mostra os grupos que criei no AD.

O que pode estar ocorrendo de errado ?

vchacal
(usa Debian)

Enviado em 03/10/2016 - 16:35h

Isso é normal colega, naturalmente o seu linux não vai enxergar os usuários do domínio.

Se vc quer trabalhar as permissões no Linux, vc deve ler a respeito do Winbind, vc vai ter que instalar o pacote do winbind e mais uma lib que esqueci o nome, depois importar os usuários e grupos. Assim seu linux vai enxergar os usuários do domínio e vc vai conseguir trabalhar as permissões.

Mais tem uma opção melhor, que é trabalhar as permissões com ACLs, da uma olhada no link oficial do samba a seguir que explica justamente isso: https://wiki.samba.org/index.php/Shares_with_Windows_ACLs

kleber.caldas
(usa CentOS)

Enviado em 04/10/2016 - 15:25h

No servidor tem o winbind instalado, você me indicaria algum tutorial ou link para configurar o "smb.conf" e outros arquivos para que winbind ?

Obrigado

vchacal
(usa Debian)

Enviado em 04/10/2016 - 19:23h

Tem este tutorial do Stato, veja se te ajuda: https://www.youtube.com/watch?v=hQ3ppZhi31E
Porem ele fez a instalação do samba compilando.

Caso vc tenha instalado o samba usando o apt-get ou não quer compilar novamente o que vc jah instalou ... vc pode tentar instalar os pacotes via apt: winbind e o libnss_winbind.

E o restante ele mostra no vídeo bem detalhado. Veja se te ajuda.

kleber.caldas
(usa CentOS)

Enviado em 10/10/2016 - 11:34h

Obrigado pelo tutorial, eu segui os passos e consigo visualizar todos usuários cadastrados no AD através do getent passwd .

Criei uma pasta compartilhada e setei as permissões via ACL para esta pasta, porém as medidas de segurança não estão funcionando, pois o grupo de usuários (AD) que coloquei como permissão total, eles não estão conseguindo criar e editar arquivos dentro da pasta.

vchacal
(usa Debian)

Enviado em 13/10/2016 - 11:36h

Desculpe a demora colega, fiquei um tempo sem acessar o fórum.
Se ainda estiver com problemas eu posso simular no meu ambiente aqui pra gente comparar e tentar achar o erro.

kleber.caldas
(usa CentOS)

Enviado em 04/11/2016 - 12:53h

Campacci, obrigado

Desculpe a demora, pois fiquei um tempo sem acessar ao fórum também, ainda continuo com os problemas.

Meu ambiente é um servidor CentOS 7 com:

- Servidor de DNS (Funcionando)
- Servidor de arquivos

Problema em aplicar as medidas de segurança, ele até reconhece os grupos e usuários do domínio, porém não consegue aplicar as restrições de segurança para usuários e grupos (do AD).

- Samba 4 (funciona normalmente)
- Firewalld (funcionando)
- SeLinux desativado
- Winbind (funcionando)

Se precisar de mais informações, me avise quais são que vou repassando.

vchacal
(usa Debian)

Enviado em 04/11/2016 - 14:05h

Tranquilo colega, achei até que vc já tinha resolvido.
Vou fazer o seguinte, vou subir um ambiente aqui de testes pra gente comparar.

Estes dias eu tive problemas com winbind em um servidor de produção, o problema maior nem foi o winbind mais sim o systemd maldito.

vchacal
(usa Debian)

Enviado em 05/11/2016 - 00:18h

Posta o conteúdo do arquivo /etc/nsswitch.conf
Se o seu servidor for 64x, posta o conteúdo da pasta /lib64/
Se o servidor for 86x, posta o conteúdo da pasta /lib/
Posta as saídas dos comandos getent passwd e getent group

Agora no windows, Gerenciamento do computador > Ferramentas do sistema > Compartilhamentos e clique com o direito no compartilhamento e depois propriedades.
Na aba Segurança, clique em Editar e adicione o grupo que vc quer dar permissão, de controle total para o mesmo e depois selecione a opção Todos e remove. (Assim todos terão acesso negado ... porem o grupo que vc adicionou terá permissão total e os grupos Grupo criador, Proprietário criador também terá acesso total).

Fiz um teste aqui no meu ambiente e caso um usuário que não faz parte do grupo tente acesso ele pede autenticação, mais com o grupo que setei a permissão o acesso e gravação é feito normalmente.

kleber.caldas
(usa CentOS)

Enviado em 08/11/2016 - 11:46h

A pasta /lib64/ vc quer saber a listagem de todos os diretórios ou está procurando um ?

As demais informações:


# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Valid entries include:
#
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# db Use the local database (.db) files
# compat Use NIS on compat mode
# hesiod Use Hesiod for user lookups
# [NOTFOUND=return] Stop searching if not found so far
#

# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd: db files nisplus nis
#shadow: db files nisplus nis
#group: db files nisplus nis

#passwd: files sss //tirar o comentário
#shadow: files sss //tirar o comentário
#group: files sss //tirar o comentário
#initgroups: files

passwd: files winbind
shadow: files sss
group: files winbind

#hosts: db files nisplus nis dns
hosts: files dns myhostname

# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols: nisplus [NOTFOUND=return] files
#rpc: nisplus [NOTFOUND=return] files
#ethers: nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files

bootparams: nisplus [NOTFOUND=return] files

ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files sss

netgroup: files sss

publickey: nisplus

automount: files
aliases: files nisplus




--------------------------------------------------

#getent


root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-bus-proxy:x:999:998:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:998:997:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:997:996:User for polkitd:/:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
unbound:x:996:995:Unbound DNS resolver:/etc/unbound:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
colord:x:995:994:User for colord:/var/lib/colord:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
geoclue:x:994:991:User for geoclue:/var/lib/geoclue:/sbin/nologin
rtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
chrony:x:993:990::/var/lib/chrony:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
setroubleshoot:x:992:989::/var/lib/setroubleshoot:/sbin/nologin
libstoragemgmt:x:991:988:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
saslauth:x:990:76:Saslauthd user:/run/saslauthd:/sbin/nologin
qemu:x:107:107:qemu user:/:/sbin/nologin
pulse:x:171:171:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
gnome-initial-setup:x:989:984::/run/gnome-initial-setup/:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
administrator:x:1000:1000:administrator:/home/administrator:/bin/bash
named:x:25:25:Named:/var/named:/sbin/nologin
SRH2\kleber.caldas:*:3000036:100:Kleber Luiz Caldas da Silva:/home/SRH2/kleber.caldas:/bin/false
SRH2\administrator:*:0:100::/home/SRH2/administrator:/bin/false
SRH2\dns-thor:*:3000038:100::/home/SRH2/dns-thor:/bin/false
SRH2\krbtgt:*:3000039:100::/home/SRH2/krbtgt:/bin/false
SRH2\guest:*:3000007:100::/home/SRH2/guest:/bin/false
SRH2\loki:*:3000040:100:Loki:/home/SRH2/loki:/bin/false




-------------------------------------------------------------------------------------


#getentgroup



root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:administrator
cdrom:x:11:
mail:x:12:postfix
man:x:15:
dialout:x:18:
floppy:x:19:
games:x:20:
tape:x:30:
video:x:39:
ftp:x:50:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-bus-proxy:x:998:
systemd-network:x:997:
dbus:x:81:
polkitd:x:996:
abrt:x:173:
unbound:x:995:
tss:x:59:
rpc:x:32:
colord:x:994:
usbmuxd:x:113:
cgred:x:993:
dip:x:40:
ssh_keys:x:992:
geoclue:x:991:
rtkit:x:172:
radvd:x:75:
chrony:x:990:
rpcuser:x:29:
nfsnobody:x:65534:
avahi-autoipd:x:170:
setroubleshoot:x:989:
libstoragemgmt:x:988:
saslauth:x:76:
libvirt:x:987:
kvm:x:36:qemu
qemu:x:107:
pulse-access:x:986:
pulse-rt:x:985:
pulse:x:171:
gdm:x:42:
gnome-initial-setup:x:984:
avahi:x:70:
sshd:x:74:
slocate:x:21:
postdrop:x:90:
postfix:x:89:
ntp:x:38:
tcpdump:x:72:
stapusr:x:156:
stapsys:x:157:
stapdev:x:158:
administrator:x:1000:administrator
named:x:25:
BUILTIN\administrators:x:3000000:
BUILTIN\users:x:3000006:
BUILTIN\guests:x:3000044:
BUILTIN\account operators:x:3000012:
BUILTIN\server operators:x:3000045:
BUILTIN\print operators:x:3000013:
BUILTIN\backup operators:x:3000014:
BUILTIN\replicator:x:3000015:
BUILTIN\pre-windows 2000 compatible access:x:3000046:
BUILTIN\remote desktop users:x:3000016:
BUILTIN\network configuration operators:x:3000017:
BUILTIN\incoming forest trust builders:x:3000018:
BUILTIN\performance monitor users:x:3000019:
BUILTIN\performance log users:x:3000020:
BUILTIN\windows authorization access group:x:3000021:
BUILTIN\terminal server license servers:x:3000022:
BUILTIN\distributed com users:x:3000023:
BUILTIN\iis_iusrs:x:3000024:
BUILTIN\cryptographic operators:x:3000025:
BUILTIN\event log readers:x:3000026:
BUILTIN\certificate service dcom access:x:3000027:
SRH2\cert publishers:x:3000028:
SRH2\ras and ias servers:x:3000029:
SRH2\allowed rodc password replication group:x:3000030:
SRH2\denied rodc password replication group:x:3000002:
SRH2\dnsadmins:x:3000031:
SRH2\enterprise read-only domain controllers:x:3000032:
SRH2\domain admins:x:3000005:
SRH2\domain users:x:100:
SRH2\domain guests:x:3000008:
SRH2\domain computers:x:3000010:
SRH2\domain controllers:x:3000033:
SRH2\schema admins:x:3000004:
SRH2\enterprise admins:x:3000003:
SRH2\group policy creator owners:x:3000001:
SRH2\read-only domain controllers:x:3000034:
SRH2\dnsupdateproxy:x:3000035:
SRH2\cotema:x:3000037:

vchacal
(usa Debian)

Enviado em 08/11/2016 - 14:03h

Você mexeu bastante no /etc/nsswitch.conf hein rsrsrs.
Enfim ... a importação dos grupos e usuários estão ocorrendo então ta blz.

Quanto a pasta lib64, era pra ver se vc tinha criado os links simbólicos da libnss_winbind.so.2 e libnss_winbind.so.
Mais se a importação deu tudo certo, provável que esteja OK.

Vc chegou a fazer o processo que eu tinha comentado?


Se mesmo assim os usuários do grupo não conseguir ler e ou gravar arquivos, de a permissão na pasta pelo linux.

chown -R kleber.caldas pasta_compartilhada

chgrp -R grupo_do_kleber pasta_compartilhada 

Ai vc faz um teste com o seu usuário, depois tente acesso com outro usuário pra validar.

kleber.caldas
(usa CentOS)

Enviado em 10/11/2016 - 09:52h

Pelo Windows deu erro: "Você não tem permissão para exibir ou editar as configurações de permissão desse objeto".

Depois dei o comando chown conforme o indicado e tentei verificar no windows se o usuário kleber.caldas poderia editar as configurações de pasta ou se teria acesso a pasta em abas as tentativas deu erro de permissão.