Re: [riminilug-general] samba e permessi

[Paolo Sala <piviul@xxxxxxxxxxxx>]

Anzitutto mille e mille grazie Omar.

Cercherò di spiegare meglio cosa vorrei fare. Ho un PDC purtroppo samba2 
che non gestisco io e che spero venga presto aggiornato a Samba3. Vorrei 
avere un server samba3 che condividesse alcune stampanti e directory 
agli utenti del dominio. Ho quindi installato samba3 sul server, 
installato winbind, configurato nsswitch e per fare in modo che gli 
unici servizi forniti dal server agli utenti del dominio fossero quelli 
offerti da samba, ho configurato  soltanto l'autenticazione di 
pam.d/samba tramite winbind. Non ho voluto permettere il login, né 
tantomeno altri servizi offerti dal server agli utenti del dominio, 
giusto per stare più sicuro.

Ed effettivamente la configurazione sembra funzioni poiché gli utenti 
windows effettivamente si autenticano ed utilizzano correttamente i 
servizi samba messi a disposizione dal server.

Ho invece un problema molto strano se accedo ai servizi samba da client 
linux; credo quindi il problema dipenda da come ho configurato il client 
linux.

Pur non essendo necessario, sul client ho installato winbind, 
configurato nsswitch e configurato il client anch'esso come server mebro 
del dominio (giusto così, per essere simile ai client win...).

Monto la share con
#mount -t smbfs -o username=DOMINIOCSA\\admin //intranet/http /mnt
fornisco la password e la share viene montata anche se non riesco a 
scrivere sulla share. Eppure da client win lo stesso utente può scrivere 
sulla share.

Ora spero di essere stato più chiaro e ti rispondo fra le righe...

Omar Schiaratura scrisse in data 09/01/2006 13:51:

> non ho capito bene cosa vuoi fare e come lo fai.
>  
Spero ora ti sia più chiaro.

> - Se devi solo montare una directory condivisa su un server samba remoto:
> 1) localmente l'uid che specifichi nel mount è riferito invece ad un utente 
> locale.
>  
Effettivamente non ho però ancora capito l'utilizzo di uid. Fornendo uid 
dico a samba che l'utente uid locale scrive sulla share come se fosse 
DOMINIOCSA\admin? Oppure dici a samba di utilizzare quella uid 
corrispondente ad un utente sul server che verrà utilizzato come 
credenziale per salvare e modificare i files sulla share?

> 2) non ti serve configurare pam
>  
Certo, sul client non è necessario ma nemmeno vietato... o no? Sul 
server invece è necessario se voglio utilizzare winbind per 
l'autenticazione degli utenti del dominio.

> - Se vuoi autenticare un client unix ad un server samba:
> 1) ti serve configurare pam, ma non /etc/pam.d/samba, 
> ma /etc/pam.d/auth, /etc/pam.d/login e /etc/pam.d/session, nel tuo caso 
> probabilmente solo auth
>  
Se vuoi che acceda soltanto a samba sul server samba ti basta 
configurare soltanto /etc/pam.d/samba... o no?

> 2) devi configurare anche nsswitch in modo che faccia il bind al server samba
>  
Certo, sul server devi configurare nsswitch affinché il server samba 
veda come locali gli utenti remoti del dominio.

> 3) dei verificare che l'utente con uid 10000 sul client non sia un utente 
> locale(vedi punto sopra)
>  
Questa non l'ho capita. Se fosse un utente locale sarebbe meglio... o 
almeno credo!

> Il mount dei dischi con smbfs non è legato all'autenticazione dell'utente sul 
> client unix
>
> in ogni caso ti consiglio di rimuovere uid ed il suffisso MIODOMINIO\ dal nome 
> utente
>  
Non capisco nemmeno questo. Comunque ho provato ed è la stessa cosa.

La cosa strana (strana almeno per il mio livello di conoscenza) che 
capita è che se alle dir delle share permetto la scrittura anche al 
gruppo, allora l'utente può modificare anche i files contenuti in tali 
dir, anche se i permessi per tali files sono impostato a 644.

Ho molta confusione nella testa.

Grazie ancora

Paolo