[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:57695] Re: Re: Samba 4.1.17 でのアクセス制御
たかはし さん
確認有難うございました。
さて、日曜日なので本サーバー側も少々の変更は可能ですので、再度テストして
みました。
まず、テストサーバーBでの結果ですが、大きなミスがありました。サーバー側
の公開ディレクトリーのACLに間違いがありました。このせいで、valid users =
@manager が効いていないかのように勘違いしていました。失礼しました。
結論として、
1)テストサーバーB上でLDAPを使わなかった場合の結果
a) valid users = @manager とすると正常に規制する
b) valid users = hogeuser とすると正常に規制する
c) valid users行を削除 directoryのaclにより正常に規制する
ということで、たかはしさんのテストと同様、問題なく動作しました。
2)テストサーバー上でLDAPを使った場合の結果
3)の本サーバーの結果に同じ
です。但し、LDAPの設定の関係で、1)、2)のテストサーバーは別々です。
再度、問題を整理します。
3)本サーバーA上でLDAPを使った場合の結果
a) valid users = @manager とするとすべて接続できる
b) valid users = hogeuser とすると正常に規制する
c) valid users行を削除 directoryのaclにかかわらずすべて接続できる
ということで、c)についてもう一度テストしました。
managerグループに属さない、user hoge1 で接続すると接続できてしまいます。
その時のlogです。
smbldap_open_connection: connection opened
[2015/07/12 17:17:02.257527, 2]
../source3/passdb/pdb_ldap.c:524(init_sam_from_ldap)
init_sam_from_ldap: Entry found for user: hoge1
[2015/07/12 17:17:02.260735, 2]
../source3/passdb/pdb_ldap.c:2311(init_group_from_ldap)
init_group_from_ldap: Entry found for group: 1000
[2015/07/12 17:17:02.262206, 2]
../source3/auth/auth.c:278(auth_check_ntlm_password)
check_ntlm_password: authentication for user [hoge1] -> [hoge1] ->
[hoge1] succeeded
managerグループはgid=3000ですので、違うグループを認識しているのは確かで
す。[hoge1] succeededは、ユーザー認証が正常に行われたことだと思います。
従いまして、やはりLDAP認証した場合のグループの扱いに問題があるように思い
ます。
ちなみにdirectoryのaclを
drwx------ 2 manager manager 4096 7月 10 11:36 manager-only/
としてみると、managerグループに属する場合も、属さない場合もpermission
deniedとなります。
> デフォルトの認証データベース(TDB)で発生せず、LDAP認証で
> のみ発生するようであれば、LDAP認証に依存した不具合の可能性は
> あると思いますが……。
やはり、LDAPに依存する問題のようですね。
野村
--
****** Nomura Technical Management Office Ltd. *****************
Tomoo Nomura nomura@xxxxxxxxx http://www.tmo.co.jp/
Phone: +81-78-797-0240 Fax: +81-78-754-8240
Worldwide Airline Timetable 'Flight Planner'
European Electronic Timetable 'HAFAS' ValueFax Support
****************************************************************