[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:57687] Re: Samba 4.1.17 でのアクセス制御



たかはしもとのぶです。

> さて、確認ですが。。。
> 
> >> 1)テストサーバーB上でLDAPを使わなかった場合の結果
> >>  a) valid users = @manager とするとすべて接続できない
> >>  b) valid users = hogeuser とすると正常に規制する
> >>  c) valid users行を削除 directoryのaclにより正常に規制する
> >>
> >> 2)テストサーバー上でLDAPを使った場合の結果
> >>  1)の結果に同じ
> >>
> >> ということで、たかはしさんのテスト結果と同じです。
> >
> > わたしのテスト結果では、a)のパターンでは、managerグループに
> > 所属しているユーザはアクセスでき、所属していないユーザは
> > アクセスできないという結果(期待通り)です。
> 
> ということですが、
> valid users = @manager
> を入れて確認されたのでしょうか?

すみません。以前のメールで送った、smb.conf はいろいろ切り分けを
していて、たまたまvalid users行を入れてないタイミングのものを
コピペしてしまいました。

実態としては、valid users行を入れた状態で、managerグループに所属
しているユーザはアクセスでき、そうでないユーザはアクセスできない
ことを確認しています。

そのため、LDAPを使わない(=managerグループや、そのメンバも
ローカルの/etc/groupで定義)の状態で

> >>  a) valid users = @manager とするとすべて接続できない

という挙動はちょっと考えにくいです。/etc/nsswitch.confで
group行のfilesやcompatを抜いているといったことはないですよね?

念のため上記のLDAPを使わない環境で

$ getent group manager

とした際に、想定した出力が得られてますでしょうか?

> ここで、ファイル asb という名前のものを新規作成すると作成できてしまいま 
> す。(これも問題です)
> このファイルをサーバーで確認すると、
> drwxrwx--- 2 manager manager 4096  7月 10 11:11 ./
> drwxr-xr-x 6 root    root    4096  7月  7 15:29 ../
> -rwxrwx--- 1 clala   users      6  7月 10 11:11 asb*
> となっています。しかしながら、ここで
> #su clala
> $clala: cat asb  とすると、
> cat: asb: Permission denied
> でアクセスできません。

これ自体は想定される動作です。

smbdプロセス自体はroot権限で動作しているので、パーミッションが
770のディレクトリ内にアクセスできます。ファイル書き込み時には、
実際に共有にアクセスしたユーザの権限で読み書きするため、上記の
ような挙動になります。

ちなみに、わたしが確認した際のglobalセクションは、送付した通りで、
何も定義していない状態で確認しています。内容を省略した訳では
ありません。

LDAP認証を行っている場合、最低限LDAPの設定は必要ですが、
例えば、globalセクションにadmin usersパラメータなどが入っていると、
そのパラメータが各共有でも有効になりますので、globalセクションは
可能な限り空の状態で動作確認してみてください。

それから、念のためですが、クライアントはWindowsでしょうか?
それ以外の場合は、おまじないかもしれませんが、

unix extensions = no

にしてみて確認してみてください。

> さて、問題は本サーバーAの方です。
>  c) valid users行を削除 directoryのaclにかかわらずすべて接続できる

かなり基本的な機能のおハナシですし、わたしの手元のjessieの
環境でも、最低限の設定では問題がでないので、Sambaのバグという
ところは考えにくいと思っていますが……というところです。

デフォルトの認証データベース(TDB)で発生せず、LDAP認証で
のみ発生するようであれば、LDAP認証に依存した不具合の可能性は
あると思いますが……。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo@xxxxxxxxx>
      @damemonyo / facebook.com/takahashi.motonobu