[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57682] Re: Re: Samba 4.1.17 でのアクセス制御



たかはし さん

いつも、ありがとうございます。
さて、確認ですが。。。

1)テストサーバーB上でLDAPを使わなかった場合の結果
 a) valid users = @manager とするとすべて接続できない
 b) valid users = hogeuser とすると正常に規制する
 c) valid users行を削除 directoryのaclにより正常に規制する

2)テストサーバー上でLDAPを使った場合の結果
 1)の結果に同じ

ということで、たかはしさんのテスト結果と同じです。

わたしのテスト結果では、a)のパターンでは、managerグループに
所属しているユーザはアクセスでき、所属していないユーザは
アクセスできないという結果(期待通り)です。

ということですが、
valid users = @manager
を入れて確認されたのでしょうか?
以前のメールでは、
[share1]
  path = /var/lib/samba/shares/share1
  directory mask = 0770
  force create mode = 0770
  create mask = 0770
  writeable = yes
  public = no
  delete veto files = yes
  veto files = /\.*/
  nt acl support = no
とかかれていましたので、valid users = @manager は入れずにテストされたの だと思っていました。従いまして、私のテストの1)のc)と同じと判断しました。

さて、問題は本サーバーAの方です。
 c) valid users行を削除 directoryのaclにかかわらずすべて接続できる

ということであれば、この状態で何等かファイルを作成してみて、
そのユーザ、所属グループが意図した通りになっているかどうかを
確認してみてはいかがでしょうか。

managerグループに属するユーザーnomuraとmanagerグループに属さないユーザー clalaを作成しました。(現在は、valid user 行は無い状態です) クライアントからuser clalaで接続するとマウントされてしまいます。(これが 問題です) ここで、ファイル asb という名前のものを新規作成すると作成できてしまいま す。(これも問題です)
このファイルをサーバーで確認すると、
drwxrwx--- 2 manager manager 4096  7月 10 11:11 ./
drwxr-xr-x 6 root    root    4096  7月  7 15:29 ../
-rwxrwx--- 1 clala   users      6  7月 10 11:11 asb*
となっています。しかしながら、ここで
#su clala
$clala: cat asb  とすると、
cat: asb: Permission denied
でアクセスできません。

同様に、full_audit モジュールを有効にしてみたり、Sambaのログ
レベルを2以上にすると、

[2015/04/27 15:23:59.656924,  2] auth/auth.c:304(check_ntlm_password)
   check_ntlm_password:  authentication for user [monyo] -> [monyo] -> [monyo] succeeded

のように、どのユーザとして認証されたかといったログが出力されます
ので、こちらを確認してみてはいかがでしょうか。

[2015/07/10 11:35:49.779324, 2] ../source3/lib/smbldap.c:794(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2015/07/10 11:35:49.782001, 2] ../source3/passdb/pdb_ldap.c:524(init_sam_from_ldap)
  init_sam_from_ldap: Entry found for user: clala
[2015/07/10 11:35:49.783219, 2] ../source3/passdb/pdb_ldap.c:2311(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 1000
[2015/07/10 11:35:49.783724, 2] ../source3/auth/auth.c:278(auth_check_ntlm_password) check_ntlm_password: authentication for user [clala] -> [clala] -> [clala] succeeded

ということで、認証は問題ないようです。どうも、sambaがディレクトリーのア クセス権を無視する何かがあるのかな? と思うのですが。

野村

--
****** Nomura Technical Management Office Ltd. *****************
 Tomoo Nomura      nomura@xxxxxxxxx       http://www.tmo.co.jp/
    Phone: +81-78-797-0240 Fax: +81-78-754-8240
 Worldwide Airline Timetable 'Flight Planner'
 European Electronic Timetable 'HAFAS'         ValueFax Support
****************************************************************