[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57675] Re: Re: Samba 4.1.17 でのアクセス制御

From: Tomoo Nomura <nomurat@xxxxxxxxx>
Subject: [debian-users:57675] Re: Re: Samba 4.1.17 でのアクセス制御
Date: Tue, 7 Jul 2015 10:23:27 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users-dist@debian.or.jp
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.4 required=10.0 tests=DNS_FROM_AHBL_RHSBL,KI autolearn=disabled version=3.2.5
X-virus-scanned: Debian amavisd-new at tmo.co.jp
References: <55988DE1.5050308@xxxxxxxxx> <20150705191002.3d59ee71ca6f7f44a6d6ab25@xxxxxxxxx>
Message-id: <559B2A0C.7020602@xxxxxxxxx>
X-mail-count: 57675
User-agent: Mozilla/5.0 (X11; Linux x86_64; rv:38.0) Gecko/20100101 Thunderbird/38.0.1

たかはし　さん

いつもお世話になります。
さて、LDAPなしの環境ですが、本番サーバーのため少々変更が難しい（引き続き
試してみますが）ので、他に同様のサーバーを立ててみました。　そうすると、
大変奇妙な現象に遭遇し困っています。とりあえず、途中経過を報告しておきま
す。元々の本番サーバーをＡ、後で仕立てたテストサーバーをＢとします。
現象：
サーバーＡには、managerグループでもそれ以外でも接続できてしまいます。
サーバーＢには、managerグループでもそれ以外でも接続できません。
(permission denied)

サーバーＡ：
[manager-only]
   comment = Manager-only
   path = /public/storage/manager-only
   directory mask = 0770
   force create mode = 0770
   create mask = 0770
   writable = yes
   public = no
   browseable = no
   valid users = @manager
#   write list = @manager
#   delete veto files = yes
#   veto files = /\.*/
   nt acl support = no

サーバーＢ：
[manager-only]
   comment = Manager-only
   path = /public/storage/manager-only
   directory mask = 0770
   force create mode = 0770
   create mask = 0770
   writable = yes
   browseable = no
   valid users = @manager
   nt acl support = no

/etc/pam.d 内のsamba, common-xxxxx は両サーバーともに同じです。
/etc/libnss-ldap.conf,/etc/pam_ldap.conf も同じです。

ちなみに、両サーバーで　valid users = hogeuser
と直接指定してやると、双方とも正しい動きをします。従いまして、managerグ
ループの扱いに違いがあるようです。LDAPサーバーは同じものを参照、（但し
サーバーＢはスレーブのLDAPになっています。参照はマスターを優先しています)

サーバーＡ,Ｂともにグループの参照は次のとおりです。
server-b@root:/etc/pam.d#smbldap-groupshow manager
dn: cn=manager,ou=Groups,dc=example,dc=com
objectClass: posixGroup,sambaGroupMapping
sambaSID: S-1-5-21-1701303421-241633061-113xxxxxxxx
cn: manager
gidNumber: 3000
sambaGroupType: 2
displayName: manager
memberUid: manager,hogeuser1,nomura,hogeuser2

詳細にデバッグしないとわからないと思うのですが、なにを調べれば良いか悩ん
でいます。

なにか、方法があればお願いします。

野村


On 07/05/2015 07:10 PM, TAKAHASHI Motonobu/高橋 基信 wrote:
> たかはしもとのぶです。
> 
> 同じような環境を作ってみましたが、特に問題なくアクセスを拒否
> されます。
> 
> =====
> [global]
> 
> [share1]
>    path = /var/lib/samba/shares/share1
>    directory mask = 0770
>    force create mode = 0770
>    create mask = 0770
>    writeable = yes
>    public = no
>    delete veto files = yes
>    veto files = /\.*/
>    nt acl support = no
> =====
> root@jessie64:~# ls -l /var/lib/samba/shares
> total 4
> drwxrwx--- 2 manager manager 4096 Jul  5 12:44 share1
> =====
> 
> 上記で、managerグループに所属していないユーザでアクセスしようと
> しても、アクセスを拒否されます。
> 
> LDAP認証にはしていませんが、切り分けの意味でも、LDAPなしの
> 環境で確認してみてください。
> 
> なお、ご存知かもしれませんが、public = no はデフォルト値です
> ので、明示的に設定する必要はありません。
> 


-- 
****** Nomura Technical Management Office Ltd. *****************
 Tomoo Nomura      nomura@xxxxxxxxx       http://www.tmo.co.jp/
    Phone: +81-78-797-0240 Fax: +81-78-754-8240
 Worldwide Airline Timetable 'Flight Planner'
 European Electronic Timetable 'HAFAS'         ValueFax Support
****************************************************************

Follow-Ups:
- [debian-users:57676] Re: Re: Re: Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura

References:
- [debian-users:57673] Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura
- [debian-users:57674] Re: Samba 4.1.17 でのアクセス制御
  - From: TAKAHASHI Motonobu/高橋基信

Prev by Date: [debian-users:57674] Re: Samba 4.1.17 でのアクセス制御
Next by Date: [debian-users:57676] Re: Re: Re: Samba 4.1.17 でのアクセス制御
Previous by thread: [debian-users:57674] Re: Samba 4.1.17 でのアクセス制御
Next by thread: [debian-users:57676] Re: Re: Re: Samba 4.1.17 でのアクセス制御
Index(es):
- Date
- Thread