[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57687] Re: Samba 4.1.17 でのアクセス制御

From: TAKAHASHI Motonobu/高橋基信 <monyo@xxxxxxxxx>
Subject: [debian-users:57687] Re: Samba 4.1.17 でのアクセス制御
Date: Sat, 11 Jul 2015 23:55:47 +0900
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=monyo.com; s=google; h=date:from:to:subject:message-id:in-reply-to:references:mime-version :content-type:content-transfer-encoding; bh=qw3LDnS3/Ji/ao7D3VxUqyAqO9bJPAt0wadvYpZn+CI=; b=fl0O0gjFZUrngCQy0NZUMFFVk+rQtUGZJqBh4ypqNU7O4HJuAFIP19NXt0kJmRM67C bJ2weEOUOPysiWif2Bcmu7pBBMRxQV2vcGLkjvCgy7gKM6W2CR0MjTo0vjOkSzAueEid wlkvAvEWYQnpZEkmfBl2VqznoWb8fmJdmsdaY=
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-gm-message-state: ALoCoQnzdcnGK+bpHFVYDvosYTzLzsM1yqraqOFjcrPHPcYvmEn+7oQ1YVsRFYSRDx9Hy7vFi43+
X-google-dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20130820; h=x-gm-message-state:date:from:to:subject:message-id:in-reply-to :references:mime-version:content-type:content-transfer-encoding; bh=qw3LDnS3/Ji/ao7D3VxUqyAqO9bJPAt0wadvYpZn+CI=; b=fic0d3zggh6fVjPbgwkLP0u5JKEidJGl6yYDCC2mAZavGDDQKk0MI8MC1xaL+gKnvT 3+mCCTcf6UV/oNFAX/hE/SPalJYDYnK09HcDRPOrv4mXAW/x/DXTcASIM3nDakftJcEK B8g0uhGzlDGl/I6fXmXkrdseMYDADZbTMWT8XmAJoUvefzBecdeHzT4U8+R1IbjRsHyY EfEEfONeY1wAQ8Y65TpAZv6yEBAzKMCnH9guIxGxquR1OipkV02tuPv16GfDyC1XlzQm He40/Ym4LPCMueyhhWEkIeRTNqcq7bRCvX/A5vFQpAgv8lCC0dKLy6Us7rgaGKsKrPV3 2WKA==
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users-dist@debian.or.jp
X-received: by 10.70.42.101 with SMTP id n5mr53022302pdl.93.1436626544001; Sat, 11 Jul 2015 07:55:44 -0700 (PDT)
X-spam-checker-version: SpamAssassin 3.2.5 (2008-06-10) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-1.4 required=10.0 tests=DNS_FROM_AHBL_RHSBL,KI, RCVD_IN_DNSWL_LOW autolearn=disabled version=3.2.5
References: <55988DE1.5050308@xxxxxxxxx> <20150705191002.3d59ee71ca6f7f44a6d6ab25@xxxxxxxxx> <559B2A0C.7020602@xxxxxxxxx> <559B7079.6010108@xxxxxxxxx> <20150710075839.84e1ff31173ccad2e47c07c9@xxxxxxxxx> <559F33A0.8020500@xxxxxxxxx>
Message-id: <20150711235538.8f8133f28e981ac8ae36b645@xxxxxxxxx>
X-mail-count: 57687
X-mailer: Sylpheed 3.4.2 (GTK+ 2.10.14; i686-pc-mingw32)

たかはしもとのぶです。

> さて、確認ですが。。。
> 
> >> １）テストサーバーＢ上でＬＤＡＰを使わなかった場合の結果
> >> 　a) valid users = @manager とするとすべて接続できない
> >> 　b) valid users = hogeuser とすると正常に規制する
> >> 　c) valid users行を削除 directoryのaclにより正常に規制する
> >>
> >> ２）テストサーバー上でＬＤＡＰを使った場合の結果
> >> 　１）の結果に同じ
> >>
> >> ということで、たかはしさんのテスト結果と同じです。
> >
> > わたしのテスト結果では、a)のパターンでは、managerグループに
> > 所属しているユーザはアクセスでき、所属していないユーザは
> > アクセスできないという結果（期待通り）です。
> 
> ということですが、
> valid users = @manager
> を入れて確認されたのでしょうか？

すみません。以前のメールで送った、smb.conf はいろいろ切り分けを
していて、たまたまvalid users行を入れてないタイミングのものを
コピペしてしまいました。

実態としては、valid users行を入れた状態で、managerグループに所属
しているユーザはアクセスでき、そうでないユーザはアクセスできない
ことを確認しています。

そのため、LDAPを使わない（＝managerグループや、そのメンバも
ローカルの/etc/groupで定義）の状態で

> >> 　a) valid users = @manager とするとすべて接続できない

という挙動はちょっと考えにくいです。/etc/nsswitch.confで
group行のfilesやcompatを抜いているといったことはないですよね？

念のため上記のLDAPを使わない環境で

$ getent group manager

とした際に、想定した出力が得られてますでしょうか？

> ここで、ファイル asb という名前のものを新規作成すると作成できてしまいま 
> す。(これも問題です)
> このファイルをサーバーで確認すると、
> drwxrwx--- 2 manager manager 4096  7月 10 11:11 ./
> drwxr-xr-x 6 root    root    4096  7月  7 15:29 ../
> -rwxrwx--- 1 clala   users      6  7月 10 11:11 asb*
> となっています。しかしながら、ここで
> #su clala
> $clala: cat asb　　とすると、
> cat: asb: Permission denied
> でアクセスできません。

これ自体は想定される動作です。

smbdプロセス自体はroot権限で動作しているので、パーミッションが
770のディレクトリ内にアクセスできます。ファイル書き込み時には、
実際に共有にアクセスしたユーザの権限で読み書きするため、上記の
ような挙動になります。

ちなみに、わたしが確認した際のglobalセクションは、送付した通りで、
何も定義していない状態で確認しています。内容を省略した訳では
ありません。

LDAP認証を行っている場合、最低限LDAPの設定は必要ですが、
例えば、globalセクションにadmin usersパラメータなどが入っていると、
そのパラメータが各共有でも有効になりますので、globalセクションは
可能な限り空の状態で動作確認してみてください。

それから、念のためですが、クライアントはWindowsでしょうか？
それ以外の場合は、おまじないかもしれませんが、

unix extensions = no

にしてみて確認してみてください。

> さて、問題は本サーバーＡの方です。
> 　c) valid users行を削除 directoryのaclにかかわらずすべて接続できる

かなり基本的な機能のおハナシですし、わたしの手元のjessieの
環境でも、最低限の設定では問題がでないので、Sambaのバグという
ところは考えにくいと思っていますが……というところです。

デフォルトの認証データベース（TDB）で発生せず、LDAP認証で
のみ発生するようであれば、LDAP認証に依存した不具合の可能性は
あると思いますが……。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo@xxxxxxxxx>
      @damemonyo / facebook.com/takahashi.motonobu

Follow-Ups:
- [debian-users:57695] Re: Re: Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura

References:
- [debian-users:57673] Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura
- [debian-users:57674] Re: Samba 4.1.17 でのアクセス制御
  - From: TAKAHASHI Motonobu/高橋基信
- [debian-users:57675] Re: Re: Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura
- [debian-users:57676] Re: Re: Re: Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura
- [debian-users:57681] Re: Samba 4.1.17 でのアクセス制御
  - From: TAKAHASHI Motonobu/高橋基信
- [debian-users:57682] Re: Re: Samba 4.1.17 でのアクセス制御
  - From: Tomoo Nomura

Prev by Date: [debian-users:57686] Re: konでCan not load font.になる
Next by Date: [debian-users:57688] Re: konでCan not load font.になる
Previous by thread: [debian-users:57682] Re: Re: Samba 4.1.17 でのアクセス制御
Next by thread: [debian-users:57695] Re: Re: Samba 4.1.17 でのアクセス制御
Index(es):
- Date
- Thread