[debian-users:57682] Re: Re: Samba 4.1.17 でのアクセス制御

[Tomoo Nomura <nomurat@xxxxxxxxx>]

たかはし　さん

いつも、ありがとうございます。
さて、確認ですが。。。

> > １）テストサーバーＢ上でＬＤＡＰを使わなかった場合の結果
> > 　a) valid users = @manager とするとすべて接続できない
> > 　b) valid users = hogeuser とすると正常に規制する
> > 　c) valid users行を削除 directoryのaclにより正常に規制する
> >
> > ２）テストサーバー上でＬＤＡＰを使った場合の結果
> > 　１）の結果に同じ
> >
> > ということで、たかはしさんのテスト結果と同じです。
>
> わたしのテスト結果では、a)のパターンでは、managerグループに
> 所属しているユーザはアクセスでき、所属していないユーザは
> アクセスできないという結果（期待通り）です。

ということですが、
valid users = @manager
を入れて確認されたのでしょうか？
以前のメールでは、
[share1]
  path = /var/lib/samba/shares/share1
  directory mask = 0770
  force create mode = 0770
  create mask = 0770
  writeable = yes
  public = no
  delete veto files = yes
  veto files = /\.*/
  nt acl support = no
とかかれていましたので、valid users = @manager は入れずにテストされたの 
だと思っていました。従いまして、私のテストの１）のc)と同じと判断しました。

> > さて、問題は本サーバーＡの方です。
> > 　c) valid users行を削除 directoryのaclにかかわらずすべて接続できる
>
> ということであれば、この状態で何等かファイルを作成してみて、
> そのユーザ、所属グループが意図した通りになっているかどうかを
> 確認してみてはいかがでしょうか。

managerグループに属するユーザーnomuraとmanagerグループに属さないユーザー 
clalaを作成しました。(現在は、valid user 行は無い状態です)
クライアントからuser clalaで接続するとマウントされてしまいます。（これが 
問題です）
ここで、ファイル asb という名前のものを新規作成すると作成できてしまいま 
す。(これも問題です)
このファイルをサーバーで確認すると、
drwxrwx--- 2 manager manager 4096  7月 10 11:11 ./
drwxr-xr-x 6 root    root    4096  7月  7 15:29 ../
-rwxrwx--- 1 clala   users      6  7月 10 11:11 asb*
となっています。しかしながら、ここで
#su clala
$clala: cat asb　　とすると、
cat: asb: Permission denied
でアクセスできません。

> 同様に、full_audit モジュールを有効にしてみたり、Sambaのログ
> レベルを2以上にすると、
>
> [2015/04/27 15:23:59.656924,  2] auth/auth.c:304(check_ntlm_password)
>    check_ntlm_password:  authentication for user [monyo] -> [monyo] -> [monyo] succeeded
>
> のように、どのユーザとして認証されたかといったログが出力されます
> ので、こちらを確認してみてはいかがでしょうか。

[2015/07/10 11:35:49.779324,  2] 
../source3/lib/smbldap.c:794(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2015/07/10 11:35:49.782001,  2] 
../source3/passdb/pdb_ldap.c:524(init_sam_from_ldap)
  init_sam_from_ldap: Entry found for user: clala
[2015/07/10 11:35:49.783219,  2] 
../source3/passdb/pdb_ldap.c:2311(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 1000
[2015/07/10 11:35:49.783724,  2] 
../source3/auth/auth.c:278(auth_check_ntlm_password)
  check_ntlm_password:  authentication for user [clala] -> [clala] -> 
[clala] succeeded

ということで、認証は問題ないようです。どうも、sambaがディレクトリーのア 
クセス権を無視する何かがあるのかな？　と思うのですが。

野村

--
****** Nomura Technical Management Office Ltd. *****************
 Tomoo Nomura      nomura@xxxxxxxxx       http://www.tmo.co.jp/
    Phone: +81-78-797-0240 Fax: +81-78-754-8240
 Worldwide Airline Timetable 'Flight Planner'
 European Electronic Timetable 'HAFAS'         ValueFax Support
****************************************************************