The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Samba - смешанный режим security"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [ Отслеживать ]

"Samba - смешанный режим security"  
Сообщение от Dorlas email(??) on 16-Июн-08, 10:44 
Всем добрый день!

Возник вот такой вопрос: Как с помощью Samba решить такую задачу:

Необходимо, чтобы список расшаренных ресурсов отдавался анонимно (по Guest-аккаунту), но доступ в папки был различным:
1) Есть папки, куда может зайти любой анонимус и копировать, скачивать и т.д.
2) Есть папки, куда зайти можно, только с авторизацией.

Попробовал использовать комбинацию:
[Global]
security = share
и
[homes]
valid users = root
write list = root

но когда пытаешься зайти в папку homes - поле для ввода логина заблокировано.

В случае использования других security mode авторизацию запрашивает сразу - и список папок не дает.

На текущий момент данную задачу у меня получилось решить с помощью    security = ads (интеграция через Winbind в Windows 2003 Server) - там список папок отдается любому гостю, а на ряд каталогов прописан список доменных аккаунтов - но это не выход - я не хочу рядом с Samba-сервером иметь Windows Server :)

Подскажите, где копать? Задачка интересная при большом скоплении разных данных и большого числа случайных людей :)

PS: Кстати это связка (с security = ads) у меня перестала работать с клиентами Windows XP SP3 - что-то они там испортили :( Остальные версии ОС Microsoft на Samba заходят нормально. В Интернете писали про опцию posix locking - но мне это не помогло :( :(

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Samba - смешанный режим security"  
Сообщение от greenwar (ok) on 17-Июн-08, 16:08 
лёментарно, ватсн
затык в том, что надо на те папки права давать знаешь ли. реальные такие права через chmod и chown
а ещё есть такая штука, как smbpasswd, правда она вроде как не нужна при security=user (а именно этот способ и стоит юзать), но я не уверен
вообщем, задача решается путём создания шар и для каждой прописываются разрешения
в [global]
read only = yes (синоним writeable/writable = no)
guest ok = no (синоним public = no)
hosts allow = 127. 192.168.1.
в [share 1]
public = yes
в [share 2]
path = blabla
(здесь будет работать public = no из сексии глобал)
valid users = user [@user_group]

вообщем, ксперементируй, тренируйся
самба позволяет шары так обезопасить, как винде и не снилось
а если ещё файрволл подключить, то и комар не пролетит

от windows AD лучше вообще отказаться/избавиться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Samba - смешанный режим security"  
Сообщение от Dorlas email(??) on 18-Июн-08, 15:38 
>[оверквотинг удален]
>в [share 2]
>path = blabla
>(здесь будет работать public = no из сексии глобал)
>valid users = user [@user_group]
>
>вообщем, ксперементируй, тренируйся
>самба позволяет шары так обезопасить, как винде и не снилось
>а если ещё файрволл подключить, то и комар не пролетит
>
>от windows AD лучше вообще отказаться/избавиться

Забавно, но по Вашему посту я понял, что знаю, как настраивается Samba лучше, чем Вы :)

Речь ведь шла о том, чтобы отображать список папок любому компьютеру (вне зависимости от того, что у него, домен или раб-группа, ноут и т.д.) :)

Естественно я в курсе, что есть команды chmod и chown :) :) :)

При дефолтной настройке Samba при security = user - список папок кому попало не отображается - сначало нужно авторизоваться...

В общем я сейчас уже нашел решение - оно было описано в man 5 smb.conf:

          map to guest (G)
             This  parameter is only useful in SECURITY = security modes other
             than security = share and security = server  -  i.e.   user,  and
             domain.

             This parameter can take four different values, which tell smbd(8)
             what to do with user login requests that don't match a valid UNIX
             user in some way.

             The four settings are :

                •
                   Never  - Means user login requests with an invalid password
                   are rejected. This is the default.

                •
                   Bad User - Means user logins with an invalid  password  are
                   rejected, unless the username does not exist, in which case
                   it is treated as a guest login and mapped  into  the  guest
                   account.

                •
                   Bad  Password  - Means user logins with an invalid password
                   are treated as a guest login  and  mapped  into  the  guest
                   account. Note that this can cause problems as it means that
                   any user incorrectly typing their password will be silently
                   logged  on  as  "guest" - and will not know the reason they
                   cannot access files they think they  should  -  there  will
                   have  been  no  message  given  to them that they got their
                   password wrong. Helpdesk services will hate you if you  set
                   the map to guest parameter this way :-).

                •
                   Bad  Uid  -  Is only applicable when Samba is configured in
                   some type of domain mode security (security = {domain|ads})
                   and means that user logins which are successfully authenti-
                   cated but which have no valid Unix user account  (and  smbd
                   is  unable  to  create one) should be mapped to the defined
                   guest account. This was the default behavior of  Samba  2.x
                   releases. Note that if a member server is running winbindd,
                   this option should never be required because  the  nss_win-
                   bind  library  will  export  the  Windows  domain users and
                   groups to the underlying OS via  the  Name  Service  Switch
                   interface.

                Note  that  this  parameter  is needed to set up "Guest" share
                services when  using  security  modes  other  than  share  and
                server.  This  is  because  in  these  modes  the  name of the
                resource being requested is not sent to the server until after
                the  server  has  successfully authenticated the client so the
                server cannot make authentication  decisions  at  the  correct
                time (connection to the share) for "Guest" shares. This param-
                eter is not useful with security = server as in this  security
                mode  no  information  is  returned about whether a user logon
                failed due to a bad username or bad password, the  same  error
                is returned from a modern server in both cases.

Соответственно, при дефолтном конфиге smb.conf параметр равен: Never, а в этой задачке нужно так:
map to guest = Bad User

Еще неплохо бы однозначно определить анонимного пользователя:
guest account = nobody

Только в этом случае при security = user список папок без проблем отдается любому.

А уж далее делаем как нам нужно:
# Доступ в первую - полный, анонимный
[testshare1]
        path = /backup/samba/testshare1
        browseable = yes
        writable = yes
        guest ok = yes
        guest only = yes

# Доступ во вторую - только с авторизацией по базе пользователей Samba
[testshare2]
        path = /backup/samba/testshare2
        browseable = yes
        writeable = yes

# Доступ в третью - только указанному пользователю:
[backup]
        path = /backup
        browseable = yes
        writable = yes
        public = no
        guest ok = no
        guest only = no
        valid users = egor
        write list = egor

В общем - greenwar - это Вам нужно "ксперементировать и тренируваться" :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Samba - смешанный режим security"  
Сообщение от greenwar (ok) on 18-Июн-08, 20:31 
>В общем - greenwar - это Вам нужно "ксперементировать и тренируваться" :)

я этим постоянно занимаюсь ;)
кстати, можно на ты, я не обижусь
правила пишешь криво. зачем писать одно и то же в шарах, когда часть из этого работает по умолчанию?
а если надо чего-то постоянно использовать, то в глобале 1 раз укажи

browseable = yes
guest ok = no
guest only = no
это умолчания, их не нужно указывать

ты забыл directory mask и create mask
они ой как пригодятся в шарах с числом пользователей >1

я конечно привёл в одну строку примеры из расчёта на понимание общих необходимых правил для шар
грешен - распишу подробней
у меня map to guest = bad user стоит
у меня прописаны invalid users = все системные аккаунты, включая рута
у меня на папки выставлены соответственные права чётко на этих юзеров/группу. это ой как прибавляет контроля
мне не достаточно одних только "valid user", а ещё и "hosts allow" подавай
у меня максимум описание шары занимает 7 строк, это включая маски
все эти виды твоих шар у меня есть и ещё некоторые другие
допёр я до всего этого благодаря тренировкам и кспериментам :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру