[résolu]Problème de gestion des droits sur Samba

NikkoBuntu · Le 27/10/2009, à 12:37

Bonjour a tous,

je gere un serveur linux sous une distrib dérivée de redhat (ULN d'oracle) accessible via samba par des postes NT et des postes Ubuntu.

j'ai un problème nouveau sur samba, apparu suite au rajout d'un user : samba reconnait les utilisateurs, mais ne reconnait plus leurs droits linux : donc, tout répertoire monté est attribué par défaut sur la machine client à admin ou root et du coup, aucun accès n'est autorisé.

J'ai temporairement controuné le pb en mettant toute l'arborescence des fichiers utilisateurs en xx7, ce qui permet aux utilisateurs samba d'accéder à leurs fichiers .... mais aussi à ceux des autres groupes ou utilisateurs. Bref, une situation a risque.

Si dessous ma conf chargée ... Notez que les mask ont été mis à 777 pour contourner le problème de l'accès :

[root@cashsystemesdc ~]# testparm -s
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[commun]"
Processing section "[Societe]"
Processing section "[PVPIPE$]"
Processing section "[Technique]"
Loaded services file OK.
# Global parameters
[global]
	workgroup = WORKGROUP
	server string = %h server (Samba %v) 	#Samba Server
	password server = None
	username map = /etc/samba/smbusers
	log file = /var/log/samba/%m.log
	max log size = 50
	socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
	printcap name = /etc/printcap
	os level = 33
	preferred master = Yes
	domain master = Yes
	dns proxy = No
	idmap uid = 16777216-33554431
	idmap gid = 16777216-33554431
	cups options = raw

[homes]
	comment = Home Directories
	valid users = %U
	write list = %U
	read only = No
	browseable = No

[printers]
	comment = All Printers
	path = /var/spool/samba
	printable = Yes
	browseable = No

[commun]
	comment = dossier des fichiers généraux
	path = /commun
	valid users = @users
	read only = No
	create mask = 0777
	directory mask = 0777
	guest ok = Yes

[Societe]
	comment = Repertoire prinicpal SOC
	path = /Societe
	valid users = @SOC, abderazzak, aziz, hicham, latifa, meriam, youssef
	force user = psql
	force group = pvsw
	read only = No
	create mask = 0775
	directory mask = 0777

[PVPIPE$]
	comment = Pervasive pipes
	path = /usr/local/psql/etc/pipe
	valid users = @pvsw
	browseable = No
	oplocks = No
	level2 oplocks = No

[Technique]
	comment = Dossiers Pour le service technique
	path = /Societe/Technique
	valid users = @technique, hicham, meriam, youssef
	read only = No
	create mask = 0775
	directory mask = 0777

J'avoue que j'y perd mon latin ... j'ai vu sur d'autre post que d'autres ont rencontré ce type de problème, mais je n'ai rien trouvé d'anormal dans ma conf.

Je ne suis pas un spécialiste, seulement un utilisateur assez avancé. L'impression que j'ai c'est que samba ne fait pas bien le "mapping" entre les utilisateur samba déclaré et les comptes liées et droit déclarés sur le serveur. Je connais pas bien les subtilités de ce mécanisme d'ailleurs.

Pas exemple, sur le serveur, j'ai un groupe SOC qui est un sous-groupe des users : dans ce cas, les fichiers du groupe devraient être crées comme user:SOC avec des droit comme xx0 ou xx1 selon les cas.

mais en fait, au travers de samba, les utilisateurs arrivent a se connecter, mais sont systèmatiquement rreconnu comme "other". Quand on essaye de lire les droits d'un fichier monté par samba, même en 777, Samab n'arrive pas a remonter les droits et répond "les permissions de nom-du-fichier ne peuvent pas être déterminées" (sous gnome)

Voila.. merci de votre aide
cordialement

Dernière modification par NikkoBuntu (Le 02/11/2009, à 14:33)

NikkoBuntu · Le 31/10/2009, à 11:25

Heuu .. personne inspiré par ce sujet ?

MrWaloo · Le 31/10/2009, à 19:10

essaye de supprimer la ligne :

password server = None

quel est le contenu du fichier /etc/samba/smbusers ?

sheebang · Le 31/10/2009, à 19:23

Salut,

T'aurais quelques logs Samba au moment des connexions users qui permettraient de donner une piste ?

Effectivement le mapping smbusers comme l'a dit MrWaloo serait interessant...

NikkoBuntu · Le 02/11/2009, à 11:10

Bonjour à tous les deux ..
Bon : j'ai commenté "password server = None" dans le smb.conf, sans résultat notable ...
Le fichier smbusers contient :

[root@cashsystemesdc ~]# cat /etc/samba/smbusers
# Unix_name = SMB_name1 SMB_name2 ...
#root = administrator admin
#nobody = guest pcguest smbguest
meriam = meriam
aziz = aziz
teggoinfo = teggoinfo
latifa = latifa
hicham = hicham
nicolas = nicolas

tous ces utilisateurs sont bel et bien déclarés sur le seveur linux et répartis dans des groupes divers selon leur droits et fonctions
.....
Du coup, j'ai changé le log /machine (%m.log) en log par user (%U.log) .. pour mieux suivre les problème de droits au user.
et effectivement j'obtient pour "latifa" :

[root@cashsystemesdc ~]# cat /var/log/samba/latifa.log
[2009/11/02 08:48:56, 1] smbd/service.c:make_connection_snum(648)
  192.168.1.12 (192.168.1.12) connect to service commun initially as user latifa (uid=1010, gid=1003) (pid 2646)
[2009/11/02 08:48:56, 0] smbd/trans2.c:call_trans2setfsinfo(2136)
  set_user_quota: access_denied service [commun] user [latifa]
[2009/11/02 08:48:56, 0] smbd/trans2.c:call_trans2setfsinfo(2136)
  set_user_quota: access_denied service [commun] user [latifa]
[2009/11/02 08:54:03, 1] smbd/service.c:make_connection_snum(648)
  csigestion (192.168.1.12) connect to service Societe initially as user psql (uid=1051, gid=5000) (pid 2655)

"latifa" faisant forcément partie du groupe "users", la déclaration dans la section "[commun]" de smb.conf étant "valid users = @users", elle devrait théoriquement être acceptée ?

et pour l'utilisateur "nicolas" (rajouté depuis mon post précédent)

[2009/11/02 08:42:50, 1] smbd/service.c:make_connection_snum(648)
  nicolas-laptop (192.168.1.11) connect to service Societe initially as user psql (uid=1051, gid=5000) (pid 2643)
[2009/11/02 08:48:56, 1] smbd/service.c:make_connection_snum(648)
  192.168.1.12 (192.168.1.12) connect to service Societe initially as user psql (uid=1051, gid=5000) (pid 2646)
[2009/11/02 08:48:56, 0] smbd/trans2.c:call_trans2setfsinfo(2136)
  set_user_quota: access_denied service [Societe] user [psql]
[2009/11/02 08:48:56, 1] smbd/service.c:make_connection_snum(648)
  192.168.1.12 (192.168.1.12) connect to service Societe initially as user psql (uid=1051, gid=5000) (pid 2646)
[2009/11/02 08:48:56, 0] smbd/trans2.c:call_trans2setfsinfo(2136)
  set_user_quota: access_denied service [Societe] user [psql]
[2009/11/02 09:03:51, 1] smbd/service.c:make_connection_snum(648)
  nicolas-laptop (192.168.1.11) connect to service commun initially as user nicolas (uid=1000, gid=100) (pid 2663)

donc le pb semblerait bien venir du "mapping" entre samba et users déclarés ?

Ce que je ne comprend pas bien, c'est la syntaxe samba "valid users = " ... :
- est-ce que "@group" est correcte pour tout groupe déclaré sur le serveur linux?
- est-ce que "@group, user1, user1, ... " est également correcte ?

Cordialement .. et merci de votre aide

Dernière modification par NikkoBuntu (Le 02/11/2009, à 11:22)

NikkoBuntu · Le 02/11/2009, à 14:29

Bon,
ben voila, c'est réglé ..
1) j'ai commenté "password server = None" dans le smb.conf ;
2) j'ai tout simplement supprimé le lien vers le mapping sur le fichier smbusers (d'après la doc, cela revient à dire que ce sont les id des users déclarés sur le système linux qui sont alors pris en compte)
3) pour une raison inconnue, les utilisateurs étaient forcés en un utilisateurs plsql (utilisateurs pervasive SQL) .... ce qui est rétabli maintenant.

d'autre part, le montage des volume samba a très largement gagné en vitesse ..

Merci à tous les deux pour m'avoir mis sur la voie.

par contre, est-ce que cela change quelque chose du point de vue sécurité ?

Cordialement,

MrWaloo · Le 02/11/2009, à 21:25

non, la sécurité n'en est pas modifiée

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 27/10/2009, à 12:37

[résolu]Problème de gestion des droits sur Samba

#2 Le 31/10/2009, à 11:25

Re : [résolu]Problème de gestion des droits sur Samba

#3 Le 31/10/2009, à 19:10

Re : [résolu]Problème de gestion des droits sur Samba

#4 Le 31/10/2009, à 19:23

Re : [résolu]Problème de gestion des droits sur Samba

#5 Le 02/11/2009, à 11:10

Re : [résolu]Problème de gestion des droits sur Samba

#6 Le 02/11/2009, à 14:29

Re : [résolu]Problème de gestion des droits sur Samba

#7 Le 02/11/2009, à 21:25

Re : [résolu]Problème de gestion des droits sur Samba

Pied de page des forums