[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:57681] Re: Samba 4.1.17 でのアクセス制御
- From: TAKAHASHI Motonobu/高橋 基信 <monyo@xxxxxxxxx>
- Subject: [debian-users:57681] Re: Samba 4.1.17 でのアクセス制御
- Date: Fri, 10 Jul 2015 07:58:46 +0900
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=monyo.com; s=google; h=date:from:to:subject:message-id:in-reply-to:references:mime-version :content-type:content-transfer-encoding; bh=dvTiXyAq7u4Bh3B1NQbVJq5bPlRc0HcF/dIASKelxz4=; b=MZQXpKA3VygQ5p5fbo5xWwGxz8bPZhuOfsxOYv0SuqBRRDPpYjPraERwWZs4COVa2c TuhmbZ0eNMpTaLbTFta7wENqYAWkLxErxwPVAQzk5WqQJbUdB0yemO0kHBDNuorD0E5a BJwxfcf9J7mjRTaSLzM5GUlszT7pzSNSuloJQ=
- List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
- List-id: debian-users.debian.or.jp
- List-owner: <mailto:debian-users-admin@debian.or.jp>
- List-post: <mailto:debian-users@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
- X-gm-message-state: ALoCoQmga4sbrrBoWK0ZbupqPQQkdYFkd5q6wc5G3ZTZWAPIfTA03ueF+rVRc1hWzoCqx63ml2oC
- X-google-dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20130820; h=x-gm-message-state:date:from:to:subject:message-id:in-reply-to :references:mime-version:content-type:content-transfer-encoding; bh=dvTiXyAq7u4Bh3B1NQbVJq5bPlRc0HcF/dIASKelxz4=; b=EiTeHf5Vesg5ZLZQ1N94pSizhm84F59OczK1ylSUlYcJ9OvQdshzSmTDeGwiueeOjp wS7U7VvFgw4cTGGbGCJkBAVNu5YrXkMJxsV2DM36M3eTS2w4QjKzDJoy32BeUUtdiZzd KTTe16hb7cg1/khzMvskjTBZS2xU8iGdxauZvFASyYqdChziYS1jf8rCbXZfYKKCzNf5 i1vz0eCllPXfaA8wUkqN8YvCofoFt88fxIrQoiEF8WDC0P0gKTY8rSV6Dm1Za6ErQYTO J77q6xMiesd0uojGpBJ5xkW/nVjw02v0CcCCeTeB4IOj8UP4hQS2gnMP3yjWuHTtAkZ4 O1hQ==
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
- X-ml-name: debian-users
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-users-dist@debian.or.jp
- X-received: by 10.68.142.232 with SMTP id rz8mr35237165pbb.117.1436482724777; Thu, 09 Jul 2015 15:58:44 -0700 (PDT)
- X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
- X-spam-level:
- X-spam-status: No, score=-1.4 required=10.0 tests=DNS_FROM_AHBL_RHSBL,KI, RCVD_IN_DNSWL_LOW autolearn=disabled version=3.2.5
- References: <55988DE1.5050308@xxxxxxxxx> <20150705191002.3d59ee71ca6f7f44a6d6ab25@xxxxxxxxx> <559B2A0C.7020602@xxxxxxxxx> <559B7079.6010108@xxxxxxxxx>
- Message-id: <20150710075839.84e1ff31173ccad2e47c07c9@xxxxxxxxx>
- X-mail-count: 57681
- X-mailer: Sylpheed 3.4.2 (GTK+ 2.10.14; i686-pc-mingw32)
たかはしもとのぶです。
以下の内容を拝見したのですが、発生している事象がよく理解
できません。
> 1)テストサーバーB上でLDAPを使わなかった場合の結果
> a) valid users = @manager とするとすべて接続できない
> b) valid users = hogeuser とすると正常に規制する
> c) valid users行を削除 directoryのaclにより正常に規制する
>
> 2)テストサーバー上でLDAPを使った場合の結果
> 1)の結果に同じ
>
> ということで、たかはしさんのテスト結果と同じです。
わたしのテスト結果では、a)のパターンでは、managerグループに
所属しているユーザはアクセスでき、所属していないユーザは
アクセスできないという結果(期待通り)です。
「すべて接続できない」だとすると、結果が異なっているように
見えます。事象だけから逆算すると、managerグループ(もしくは
グループに所属するメンバ一覧)が認識されていないように
見えます。
> さて、問題は本サーバーAの方です。
> 3)本サーバーA上でLDAPを使った場合の結果
> a) valid users = @manager とするとすべて接続できる
> b) valid users = hogeuser とすると正常に規制する
> c) valid users行を削除 directoryのaclにかかわらずすべて接続できる
こちらは、事象から逆算しても、原因がよくわからないのですが、
> c) valid users行を削除 directoryのaclにかかわらずすべて接続できる
ということであれば、この状態で何等かファイルを作成してみて、
そのユーザ、所属グループが意図した通りになっているかどうかを
確認してみてはいかがでしょうか。
同様に、full_audit モジュールを有効にしてみたり、Sambaのログ
レベルを2以上にすると、
[2015/04/27 15:23:59.656924, 2] auth/auth.c:304(check_ntlm_password)
check_ntlm_password: authentication for user [monyo] -> [monyo] -> [monyo] succeeded
のように、どのユーザとして認証されたかといったログが出力されます
ので、こちらを確認してみてはいかがでしょうか。
また、どちらのサーバについても言えますが、globalセクションで
何等か該当する設定(例えばゲスト認証を有効にするなど)を行って
いれば、その設定に起因して、問題が発生している可能性はあります。
--
TAKAHASHI Motonobu/高橋 基信 <monyo@xxxxxxxxx>
@damemonyo / facebook.com/takahashi.motonobu
-----Original Message-----
From: Tomoo Nomura <nomurat@xxxxxxxxx>
Sent: Tue, 7 Jul 2015 15:23:59 +0900
To: debian-users@debian.or.jp
Cc:
Subject: [debian-users:57676] Re: Re: Re: Samba 4.1.17 でのアクセス制御
少し進展しましたので、報告しておきます。
1)テストサーバーB上でLDAPを使わなかった場合の結果
a) valid users = @manager とするとすべて接続できない
b) valid users = hogeuser とすると正常に規制する
c) valid users行を削除 directoryのaclにより正常に規制する
2)テストサーバー上でLDAPを使った場合の結果
1)の結果に同じ
ということで、たかはしさんのテスト結果と同じです。
さて、問題は本サーバーAの方です。
3)本サーバーA上でLDAPを使った場合の結果
a) valid users = @manager とするとすべて接続できる
b) valid users = hogeuser とすると正常に規制する
c) valid users行を削除 directoryのaclにかかわらずすべて接続できる
結論として
A)valic users = @manager は正常に動かない
B)本サーバーA上で、directoryのaclが反映されない
ということのようです。B)について何とか解決したのですが、手がかりがありま
したお願い致します。
野村
On 07/07/2015 10:23 AM, Tomoo Nomura wrote:
> たかはし さん
>
> いつもお世話になります。
> さて、LDAPなしの環境ですが、本番サーバーのため少々変更が難しい(引き続き
> 試してみますが)ので、他に同様のサーバーを立ててみました。 そうすると、
> 大変奇妙な現象に遭遇し困っています。とりあえず、途中経過を報告しておきま
> す。元々の本番サーバーをA、後で仕立てたテストサーバーをBとします。
> 現象:
> サーバーAには、managerグループでもそれ以外でも接続できてしまいます。
> サーバーBには、managerグループでもそれ以外でも接続できません。
> (permission denied)
>
> サーバーA:
> [manager-only]
> comment = Manager-only
> path = /public/storage/manager-only
> directory mask = 0770
> force create mode = 0770
> create mask = 0770
> writable = yes
> public = no
> browseable = no
> valid users = @manager
> # write list = @manager
> # delete veto files = yes
> # veto files = /\.*/
> nt acl support = no
>
> サーバーB:
> [manager-only]
> comment = Manager-only
> path = /public/storage/manager-only
> directory mask = 0770
> force create mode = 0770
> create mask = 0770
> writable = yes
> browseable = no
> valid users = @manager
> nt acl support = no
>
> /etc/pam.d 内のsamba, common-xxxxx は両サーバーともに同じです。
> /etc/libnss-ldap.conf,/etc/pam_ldap.conf も同じです。
>
> ちなみに、両サーバーで valid users = hogeuser
> と直接指定してやると、双方とも正しい動きをします。従いまして、managerグ
> ループの扱いに違いがあるようです。LDAPサーバーは同じものを参照、(但し
> サーバーBはスレーブのLDAPになっています。参照はマスターを優先しています)
>
> サーバーA,Bともにグループの参照は次のとおりです。
> server-b@root:/etc/pam.d#smbldap-groupshow manager
> dn: cn=manager,ou=Groups,dc=example,dc=com
> objectClass: posixGroup,sambaGroupMapping
> sambaSID: S-1-5-21-1701303421-241633061-113xxxxxxxx
> cn: manager
> gidNumber: 3000
> sambaGroupType: 2
> displayName: manager
> memberUid: manager,hogeuser1,nomura,hogeuser2
>
> 詳細にデバッグしないとわからないと思うのですが、なにを調べれば良いか悩ん
> でいます。
>
> なにか、方法があればお願いします。
>
> 野村
>
>
> On 07/05/2015 07:10 PM, TAKAHASHI Motonobu/高橋 基信 wrote:
>> たかはしもとのぶです。
>>
>> 同じような環境を作ってみましたが、特に問題なくアクセスを拒否
>> されます。
>>
>> =====
>> [global]
>>
>> [share1]
>> path = /var/lib/samba/shares/share1
>> directory mask = 0770
>> force create mode = 0770
>> create mask = 0770
>> writeable = yes
>> public = no
>> delete veto files = yes
>> veto files = /\.*/
>> nt acl support = no
>> =====
>> root@jessie64:~# ls -l /var/lib/samba/shares
>> total 4
>> drwxrwx--- 2 manager manager 4096 Jul 5 12:44 share1
>> =====
>>
>> 上記で、managerグループに所属していないユーザでアクセスしようと
>> しても、アクセスを拒否されます。
>>
>> LDAP認証にはしていませんが、切り分けの意味でも、LDAPなしの
>> 環境で確認してみてください。
>>
>> なお、ご存知かもしれませんが、public = no はデフォルト値です
>> ので、明示的に設定する必要はありません。
--
****** Nomura Technical Management Office Ltd. *****************
Tomoo Nomura nomura@xxxxxxxxx http://www.tmo.co.jp/
Phone: +81-78-797-0240 Fax: +81-78-754-8240
Worldwide Airline Timetable 'Flight Planner'
European Electronic Timetable 'HAFAS' ValueFax Support
****************************************************************