このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/07 23:57
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

掲題の件、サイトhttp://centossrv.com/samba.shtml
の(3)共有ディレクトリ作成で紹介されている
手順についてですが、今日たまたまpublicフォルダに
新規ファイルを格納しようとしたところ、アクセス拒否
されたので、/home/sambaのパーミッションを777にする
ことで回避出来ましたが、本サイトの手順には記載が
有りませんでしたがその辺りの対象方法としては正しい
のでしょうか?(^^;)

宜しくお願い致します。

以上
記事編集 編集

Page: | 1 | 2 |

Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/11 08:14
名前: stranger
URL: http://ja.528p.com/
[global] guest account に特別な名前を設定していませんか

私の場合は
ftpでアップロードしたあと、sambaフォルダに移すこともあるので
パーミッションは777にしています
書き込んだファイルの所有グループが全てnobodyになるように
SGIDを立てています
ですからsamba/publicは[nobody nobody 2777]です
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/11 16:38
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、日本Sambaユーザー会の方で
質問させて頂いたところ下記の対応で
解決出来ることが分かりました。

1.id guestコマンドで調べたところ、
guestアカウントの属性情報が次のようになっていた
(おそらくOpenLDAPと連携している為だと思われます)。

[root@server ~]# id guest
uid=999(Guest) gid=514(Domain Guests) 所属グループ=514(Domain Guests)

2.1.を受け、/home/sambaのオーナーとグループ
を下記に変更。

drwxr-xr-x 5 Guest Domain Guests samba

以上です。

管理人さん、strangerさん>
ご教授頂き、有難う御座いました。

宜しくお願い致します。

以上
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/12 08:11
名前: stranger
URL: http://ja.528p.com/
>こんばんは、お世話になります。
>
>上記の件、日本Sambaユーザー会の方で
>質問させて頂いたところ下記の対応で
>解決出来ることが分かりました。
>
>1.id guestコマンドで調べたところ、
>guestアカウントの属性情報が次のようになっていた
>(おそらくOpenLDAPと連携している為だと思われます)。
>
>[root@server ~]# id guest
>uid=999(Guest) gid=514(Domain Guests) 所属グループ=514(Domain Guests)
>
>2.1.を受け、/home/sambaのオーナーとグループ
>を下記に変更。
>
>drwxr-xr-x 5 Guest Domain Guests samba
>
>以上です。
>
>管理人さん、strangerさん>
>ご教授頂き、有難う御座いました。
>
>宜しくお願い致します。
>
>以上

OpenLDAPを使ってsambaの認証をしていますとか最初にかいておくべきでは
最初の質問がここのサイトのsamba設定を例に上げているので
ここのサイトの設定通りに行ったものと考える
あなた独自の設定を加えたなら、最初にそれを呈示すべきです
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/14 11:45
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

strangerさん>
返信が遅くなり、申し訳御座いません。

ご指摘ごもっともでした。最初にOpenLDAPで認証
をしていると記載すればお手を煩わせることは
無かったと思います。申し訳御座いませんでした
・・・。

また、

>[global] guest account に特別な名前を設定していませんか

も再度確認したところ、smb.confデフォルトのnobodyではく、
guestと変更されておりました。結果的にこの箇所を
デフォルト設定に戻すことで一発解決でした。

以後は、文頭の注意点に十分留意した上で質問させて頂きます。(^^;)

宜しくお願い致します。

以上
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/14 12:00
名前: stranger
URL: http://ja.528p.com/
>こんにちは、お世話になります。
>
>strangerさん>
>返信が遅くなり、申し訳御座いません。
>
>ご指摘ごもっともでした。最初にOpenLDAPで認証
>をしていると記載すればお手を煩わせることは
>無かったと思います。申し訳御座いませんでした
>・・・。
>
>また、
>
>>[global] guest account に特別な名前を設定していませんか
>
>も再度確認したところ、smb.confデフォルトのnobodyではく、
>guestと変更されておりました。結果的にこの箇所を
>デフォルト設定に戻すことで一発解決でした。
>
>以後は、文頭の注意点に十分留意した上で質問させて頂きます。(^^;)
>
>宜しくお願い致します。
>
>以上

結局openLDAPとは関係なく、[global] guest accountの設定ですね
いろいろ試されているようなので、情報を開示していただければ、参考になります
私の所は、samba-3.2.6のrpm作成に戸惑いましたが、なんとか今日更新しました

記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/14 14:38
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんにちは、お世話になります。

strangerさん>
レス有難う御座います。

早速ですが試した手順は下記の通りです。

1.chown nobody:nobody /home/sambaを実行

2.smb.confのguest accont = guestの設定を
guest accont = nobodyに修正

3.smbサービスを再起動

以上です。尚、念の為現在使用している
smb.confの設定も記載して置きます。

---以下smb.confの内容

[global]

unix charset = UTF-8
dos charset = CP932
display charset = UTF-8

workgroup = YOSHIHARAS

server string = Samba Server

security = user

hosts allow = 192.168.1. 127.

load printers = no
disable spoolss = yes

printing = bsd

admin users = administrator
guest account = nobody

log file = /var/log/samba/%m.log

max log size = 50

passdb backend = ldapsam:ldap://localhost

os level = 32

domain master = yes

preferred master = yes

domain logons = yes

logon path =

wins support = yes

dns proxy = no

add user script = /usr/sbin/smbldap-useradd -m '%u'
add group script = /usr/sbin/smbldap-groupadd -p '%g'
add machine script = /usr/sbin/smbldap-useradd -w '%u'
delete user script = /usr/sbin/smbldap-userdel -r '%u'
delete user from group script = /usr/sbin/smbldap-userdel -x '%u' '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'

ldap admin dn = cn=Manager,dc=takao-y,dc=net
ldap suffix = dc=takao-y,dc=net
ldap user suffix = ou=People
ldap group suffix = ou=Group
ldap machine suffix = ou=Computers

ldap delete dn = yes
ldap passwd sync = yes

map hidden = yes
map system = yes
encrypt passwords = yes
client NTLMv2 auth = yes

[homes]
comment = Home Directories
path = %H/samba
browseable = no
writable = yes
vfs objects = recycle
recycle:repository = .recycle
recycle:keeptree = no
recycle:versions = yes
recycle:touch = no
recycle:maxsize = 0
recycle:exclude = *.tmp ~$*

[netlogon]
comment = Network Logon Service
path = /netlogon
writable = no

[Profiles]
path = /profiles
writable = yes
browseable = no
create mask = 0600
directory mask = 0700
profile acls = yes

[public]
comment = Public Stuff
path = /home/samba
public = yes
writable = yes
only guest = yes
vfs objects = recycle
recycle:repository = .recycle
recycle:keeptree = no
recycle:versions = yes
recycle:touch = no
recycle:maxsize = 0
recycle:exclude = *.tmp ~$*

---ここまでsmb.confの内容

宜しくお願い致します。

以上
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/14 20:53
名前: よっしー
URL: https://takao-y.net/~takao/fswiki/wiki.cgi
こんばんは、お世話になります。

上記の件、あれから下記諸点を考慮しました。

・日本Sambaユーザー会の方でも指摘を受けたのですが、
ゲスト接続を許可すると同一LAN内に接続している
クライアントの全てからSambaユーザ登録の有無に関係
無く誰でもアクセスが出来てしまい、誰がアクセスした
かの記録が残らない為、セキュリティ的に問題が有る。

・共有フォルダにアクセス出来るユーザーをSamba登録
ユーザーに限定し、Sambaユーザー間ではそのフォルダ
内のファイルを自由に読み書き出来るようにする。

上記を受け、smb.confの[public]セクションを次の
ように変更しました。

[public]
comment = Public Stuff
path = /home/samba
public = yes
writable = yes
guest ok = no
create mask = 0777
directory mask = 0777
vfs objects = recycle
recycle:repository = .recycle
recycle:keeptree = no
recycle:versions = yes
recycle:touch = no
recycle:maxsize = 0
recycle:exclude = *.tmp ~$*

また、chown root:root /home/samba及び
chmod 777 /home/sambaを実行して/home/samba
の所有権及びパーミッションを変更しました。

宜しくお願い致します。

以上
記事編集 編集
Re: 本ページで紹介されているSamba手順の共有フォルダアクセス このメッセージに返信する
日時: 2008/12/15 00:02
名前: stranger
URL: http://ja.528p.com/
>こんばんは、お世話になります。
>
>上記の件、あれから下記諸点を考慮しました。
>
>・日本Sambaユーザー会の方でも指摘を受けたのですが、
>ゲスト接続を許可すると同一LAN内に接続している
>クライアントの全てからSambaユーザ登録の有無に関係
>無く誰でもアクセスが出来てしまい、誰がアクセスした
>かの記録が残らない為、セキュリティ的に問題が有る。

[public]はだれでもアクセスできるディレクトリとして
nobodyゲストユーザでログインするように設定するのでないか

[homes]の設定は、ユーザ専用ディレクトリになるように設定されているはずなので
別のディレクトリを設定して、特定のグループだけアクセスできるようにするとか


[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0644
directory mask = 0755
valid users = %U
[linux]
path = /home/samba/linux
writable = yes
hide unreadable = yes
create mask = 0664
directory mask = 0775
valid users = @linux

/home/samba/linuxは [root linux 2775] に設定
linuxグループだけ書込できるディレクトリで
新規ファイルの所有者はすべてlinuxグループになる
記事編集 編集

Page: | 1 | 2 |

件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -