compartilhamentos de grupo não listados por smbtree, nautilus devido a não solicitar senha

3

Recentemente migramos para o Samba 4.4.16 (de 3.5.15).

Nossa configuração contém um número de compartilhamentos que possuem somente acesso de grupo (@group ou + group) que mapeiam para grupos unix. Aqui está um trecho da configuração:

[global]
bind interfaces only = yes
interfaces = lo eth0
netbios name = OURSERVER
server string = Office Intranet (OURSERVER) Server Version %v
workgroup = WORKGROUP
domain master = yes
preferred master = yes
os level = 34
dns proxy = no
log level = 3
log file = /var/log/samba/log.%m
max log size = 50
nmbd bind explicit broadcast = No
printcap name = cups
name resolve order = wins hosts
passdb backend = tdbsam:/etc/samba/passdb.tdb
obey pam restrictions = yes
passwd chat debug = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:*        %n\n *password\supdated\ssuccessfully* .
pam password change = yes
security = user
encrypt passwords = yes
map to guest = Bad User
wins support = Yes
idmap config * : backend = tdb
cups options = raw
use client driver = Yes
hosts allow = 127.0.0.1 192.168.0.0/24
case sensitive = no
invalid users = root
username map script = /bin/echo
restrict anonymous = 2

[homes]
comment = Home Directories
path = /data/home/%u
hide files = /.*/
veto files = /.*/lost+found/bin/httpd/public/.vacation.*/.forward/
follow symlinks = No
create mask = 0755
read only = No

[Stuff]
comment = All your base are belong to us
path = /data/shares/stuff
hide files = /.*/
veto files = /.*/lost+found/bin/httpd/public/.vacation.*/.forward/
follow symlinks = No
access based share enum = Yes
create mask = 0770
directory mask = 0770
force group = entitled
force user = docman
read only = No
valid users = @entitled

Isso funciona em smbclient -L OurServer :

$ smbclient -L OURSERVER
WARNING: The "syslog" option is deprecated
Enter WORKGROUP\funster's password: 
Domain=[OURSERVER] OS=[Windows 6.1] Server=[Samba 4.4.16]

Sharename       Type      Comment
---------       ----      -------
homes           Disk      Home Directories
funster         Disk      Home Directories
Stuff           Disk      All your base are belong to us
IPC$            IPC       IPC Service (Office Intranet (OURSERVER) Server Version 4.4.16)

Server               Comment
---------            -------

Workgroup            Master
---------            -------
WORKGROUP            

Mas não no smbtree ou no Nautilus porque nenhum deles pede uma senha por padrão:

$ smbtree
WORKGROUP
    \OURSERVER                 Office Intranet (OURSERVER) Server Version 4.4.16

No entanto:

$ smbtree -Ufunster%p4ssw0rd
WORKGROUP
    \OURSERVER                 Office Intranet (OURSERVER) Server Version 4.4.16
        \OURSERVER\funster         Home Directories
        \OURSERVER\IPC$            IPC Service (Office Intranet (OURSERVER) Server Version 4.4.16)
        \OURSERVER\homes           Home Directories
        \OURSERVER\Stuff           All your base are belong to us

Sem restrict anonymous = 2 , logins anônimos são permitidos, MAS O Nautilus e smbtree mostram apenas o homes share mesmo que os outros estejam acessíveis diretamente .

Como posso forçar o Nautilus e o smbtree a solicitar uma senha para que ela veja os compartilhamentos do grupo?

    
por tudor 24.01.2018 / 03:07

1 resposta

0

Como indicado em @Robert Riedl comentário o página man do smbtree deixe claro que a opção -N --no-pass suprimirá a solicitação de senha normal.

As possibilidades que vêm à mente e as soluções são as seguintes.

1) É possível que um alias tenha sido definido para smbtree . Você pode verificar isso com o comando alias | grep smbtree e, se obtiver uma saída semelhante a alias smbtree='smbtree -N' ou alias smbtree='smbtree --nopass' , poderá remover o alias com o comando unalias smbtree

2) Você descobriu um bug e deve denunciá-lo. que pode ser esmagado pelos desenvolvedores.

3) A única outra maneira que eu sei que isso pode ocorrer é se você designar uma seção como um Guest Service em smb.conf usando a linha guest ok = yes na configuração de compartilhamento. Veja este trecho da página man relacionada

If this parameter is yes for a service, then no password is required to connect to the service. Privileges will be those of the guest account.

This parameter nullifies the benefits of setting restrict anonymous = 2

See the section below on security for more information about this option.

Default: guest ok = no 

A solução para isso é remover o guest ok = yes da configuração de compartilhamento para que ele volte ao padrão.

Se, como você supõe, isso está relacionado à atribuição do grupo:

Se o parâmetro forçar o usuário também for definido, o grupo especificado no grupo forçar substituirá o grupo principal que estiver em vigor.

force group (S)

This specifies a UNIX group name that will be assigned as the default >primary group for all users connecting to this service.

This is useful for sharing files by ensuring that all access to files on >service will use the named group for their permissions checking. Thus, by >assigning permissions for this group to the files and directories within >this service the Samba administrator can restrict or allow sharing of these files.

In Samba 2.0.5 and above this parameter has extended functionality in the following way. If the group name listed here has a '+' character prepended to it then the current user accessing the share only has the primary group default assigned to this group if they are already assigned as a member of that group. This allows an administrator to decide that only users who are already in a particular group will create files with group ownership set to that group. This gives a finer granularity of ownership assignment. For example, the setting force group = +sys means that only users who are already in group sys will have their default primary group assigned to sys when accessing this Samba share. All other users will retain their ordinary primary group.

    Default: force group =

    Example: force group = agroup 

Para aprofundar tudo sobre samba, visite aqui.

Fontes:

Como faço para relatar um bug?

link

link

link

    
por Elder Geek 07.02.2018 / 21:36