Lo que me está pasando es que samba no me está cogiendo los grupos y usuarios
del dominio sin embargo con ejecuto el comando wbinfo si me lista los usarios y
grupos del dominio,
Esta es mi config de samba:
#======================= Global Settings =======================
[global]
server role = MEMBER SERVER
security = ADS
realm = CITAR.CFG.MINAG.CU
workgroup = CITAR
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
server string = Samba 4 %h
log file = /var/log/samba/%m.log
log level = 5
imap config * : backend = tdb
imap config * : range = 3000-7999
imap config CITAR : backend = rid
imap config CITAR : range = 10000-999999
password server = pdc.citar.cfg.minag.cu
encrypt passwords = no
winbind refresh tickets = yes
winbind offline logon = yes
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind expand groups = 2
winbind use default domain = yes
os level = 20
domain master = no
local master = no
preferred master = no
map to guest = bad user
host msdfs = no
netbios name = DATOS
client min protocol = SMB2
client max protocol = SMB3
unix extensions = no
reset on zero vc= yes
veto files = /.bash_logout/.bash_profile/.bash_history/.bashrc/
hide unreadable = yes
acl group control = yes
acl map full control = true
ea support = yes
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
dos filemode = yes
dos filetimes = yes
enable privileges = yes
restrict anonymous = 2
strict allocate = yes
guest ok = no
load printers= no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
username map = /etc/samba/user.map
[Almacenamiento]
comment = "Sistema informativo"
path = /mnt/raid0/Almacenamiento
read only = no
[Salva Usuarios de RED]
comment = Home Directories
path = /mnt/raid0/homes
browseable = yes
read only = no
[Salvas]
comment = Directorio para salvas
path = /mnt/raid0/Salvas
browseable = yes
read only = no
----- Mensaje original -----
De: "Roilan Martinez Acebal" <esp.i...@citar.cfg.minag.cu>
Para: "gutl-l" <gutl-l@listas.jovenclub.cu>
Enviados: Viernes, 25 de Enero 2019 14:15:02
Asunto: [Gutl-l] Re: ACL en samba
Buenas tardes sigo con problemas al compartir los directorios con samba4, el
usuario ve el recurso compartido pero le pide contraseña. Solo el usuario
administrator puede acceder si contraseña.
A ver me explico: tengo un recurso compartido
[Almacenamiento]
comment = "Sistema informativo"
path = /mnt/raid0/Almacenamiento
read only = no
Quiero que los grupos domain admins y contabildad puedan leer y escribir. a los
usuarios que estan en esos grupos no les debe pedir contraseña para conectarse
a esos directorios. Desde windows les he dado los permisos necesarios para que
accedan a ese recurso pero sin embargo les pide contraseña y solo usando el
usuario administrator les deja acceder al recurso.
Cuando ejecuto el comando getfacl me sale lo siguiente:
:/etc/samba# getfacl /mnt/raid0/Almacenamiento/
getfacl: Removing leading '/' from absolute path names
# file: mnt/raid0/Almacenamiento/
# owner: root
# group: root
user::rwx
user:root:rwx
user:roilan:rwx
group::rwx
group:root:rwx
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:user:roilan:rwx
default:group::rwx
default:group:root:rwx
default:mask::rwx
default:other::---
Cuando ejecuto el comando setfacl me sale lo sigguiente:
setfacl -m default:group:"CITAR\Domain Admins":rwx /mnt/raid0/Almacenamiento/
setfacl: Option -m: Invalid argument near character 15
chown root:"Domain Admins" /mnt/raid0/Almacenamiento/
chown: invalid group: ‘root:Domain Admins’
Salida de wbinfo
wbinfo -g
gponavnacional
domain controllers
aseg
ras and ias servers
denied rodc password replication group
group policy creator owners
ccv
gfi_esec_floppy_fullaccess
gfi_esec_infrared_fullaccess
dnsadmins
gfi_esec_modem_fullaccess
gfi_esec_storagedevices_fullaccess
domain admins
allowed rodc password replication group
domain users
gfi_esec_internal_fullaccess
schema admins
gfi_esec_hid_fullaccess
gfi_esec_firewire_fullaccess
read-only domain controllers
gfi_esec_storagedevices_readonly
gponavinternet
citar
domain guests
gfi_esec_networkdevices_fullaccess
gfi_esec_cddvd_fullaccess
gfi_esec_imagingdevices_fullaccess
contabilidad
gfi_esec_otherdevices_fullaccess
gfi_esec_securedigital_fullaccess
gfi_esec_cddvd_readonly
gfi_esec_pda_fullaccess
gfi_esec_bluetooth_fullaccess
usb
gfi_esec_printer_fullaccess
gfi_esec_pcmcia_fullaccess
finanzas
enterprise admins
gfi_esec_usb_fullaccess
gfi_esec_floppy_readonly
domain computers
ubpc
cert publishers
enterprise read-only domain controllers
gfi_esec_serialparallel_fullaccess
dnsupdateproxy
root@datos:/etc/samba#
Que puede estar pasando
Alguna sugerencia
Saludos
----- Mensaje original -----
De: "Arian Molina Aguilera" <linuxc...@teknik.io>
Para: "gutl-l" <gutl-l@listas.jovenclub.cu>
Enviados: Miércoles, 23 de Enero 2019 15:37:56
Asunto: [Gutl-l] Re: ACL en samba
El 23/1/19 a las 15:17, Ulises Gonzalez Horta escribió:
>
>>
>> Tu recurso compartido sería
>> [Almacenamiento]
>> comment = "Datos Compatidos"
>> path = /mnt/raid0/Almacenamiento
>> create mask = 0770
>> browseable = yes
>> writeable = yes
>> valid users = @"Domain Admins" @"Domain Users"
>> write list = @"Domain Admins" @"Domain Users"
>>
>> chown -R root.root /mnt/raid0/Almacenamiento
>> chmod -R ug+rwx /mnt/raid0/Almacenamiento
>> chmod -R o-rwx /mnt/raid0/Almacenamiento
>>
>> setfacl -m g:"domain admins":rwx /mnt/raid0/Almacenamiento
>> setfacl -m g:"domain users":rx /mnt/raid0/Almacenamiento
>>
>> --
>> Arian Molina Aguilera
>> Administrador de Redes y Servicios Telemáticos
>> Linux Usuario Registrado #392892
>> Telfs: +53(7)696-7510 ext 236
>> email: linuxc...@teknik.io
>> “Nunca consideres el estudio como una obligación,
>> sino como una oportunidad para penetrar en el bello
>> y maravilloso mundo del saber. Albert Einstein”
>>
>>
>> _______________________________________________
>> Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
>> To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
>
> En este caso particular write list esta de mas, pues si declaras la
> carpeta como writable y luego defines valid users entonces se asume que
> todos los usuarios que se autentiquen pueden escribir, por lo cual write
> list en este caso particular esta de mas, si necesitas autenticas a pepe
> y maria, pero que solo maria pudiera escribir entonces en ese caso pepe
> y maria irian en valid users y luego solo pones a maria en write list...
>
>
>
a ver esto era así con samba3, en samba4, el cual si esta unido al
dominio o actúa como controlador de dominio, debes manejar los permisos
como te explique, desde un usuario administrador, en windows, estableces
las diferentes acls en ese recurso compartido, como que usuario puede
leer y no escribir, o que grupo puedes escribir nada más, etc, como si
de un recurso compartido en windows se tratase, se comporta igual, y eso
es gracias a las acls extendidas que implementa samba4 por defecto.
writeable = yes solo indica que el recurso compartido es escribible.
write list = @"Domain Admins" @"Domain Users" indica que grupos del
dominio tienen permiso de escritura, Estos pueden definirse aquí y
también como explicaba antes desde el mismo cliente windows si tiene
permisos para ellos, por lo general el administrador el cual tiene
control total sobre los recursos compartidos.
Enable extended ACL support in smb.conf
The following is only required on Domain Members and not on Domain
Controllers, where this setting is hard coded enabled.
Add the following to your [global] section of your smb.conf:
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
El recurso debe quedar así:
[Almacenamiento]
comment = "Sistema informativo"
path = /mnt/raid0/Almacenamiento
read only = no
--
Lic. Roilan Martinez Acebal
Administrador de Redes
Empresa Cítricos Arimao, Cumanayagua, Cienfuegos
_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
