2008年2月14日

[samba-jp:20012]Samba+OpenLDAPの環境を複数台運用している方、valid usersは使えてますか?

近藤です。

お世話になります。

samba-3.0.25以上のバージョンのSamba+OpenLDAPの環境を複数台
(LDAPはレプリケーションして)運用している方にお聞きしたいのですが、
valid usersは使っている方、居ますでしょうか?

「[samba-jp:19866]samba-3.0.25b-1.el4_6.2になったらLDAPが使えなくなりました。」

のスレッドで投稿させてもらいましたが、最初valid usersが使えず、
valid usersをコメントアウトすることで使えるようになったのですが、
いざ運用中のサーバ全部をアップデートしようと準備していたところ、
valid usersが無い共有フォルダは、認証が通ると誰でもアクセスできる
ということが発覚しました。

write list,read list,invalid usersでアクセス制御出来てると思いましたが、
invalid usersが無効のようでしかも誰でもアクセス可能。
guest ok = noにしても誰でもアクセス可能。
read only = yesにすることでwrite list以外の書込みだけは禁止に出来る。
と言った感じです。

SID値を各Sambaサーバのnet getlocalsidで取得したローカルSIDを元に
各ユーザのSID値を変更することでvalid usersが使えることを確認しましたが、
複数のSambaサーバでOpenLDAPのデータを複製して使っていると、登録
されているSID値が適合しないので、やはりvalid usersが使えそうに無いです。

複数台のSamba+OpenLDAPの環境で運用している方はどうしているのか
参考までに教えていただけないでしょうか。
問題なく各Sambaサーバでvalid users使えてるでしょうか。

強引に解決させる方法としては、各LDAPのデータは同期させるものの、
各サーバでSID値を付け直す。といった作業を行うことで対応できるのですが、
1ユーザ追加すると、前サーバで再度SID値を付け直す必要があるため、
非常に煩雑になり、バージョンアップできないかなと思えてきてます。

[global]
workgroup = WORKGROUP
netbios name = SERVER001
server string = Samba Server Version %v
dos charset = CP932
display charset = UTF-8
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0770

#passdb backend = smbpasswd
passdb backend = ldapsam:ldap://127.0.0.1:389
ldap passwd sync = Yes
ldap ssl = no
ldap suffix = ou=XXXXX,dc=XXXXX,dc=co,dc=jp
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = cn=Manager,ou=XXXXX,dc=XXXXX,dc=co,dc=jp
utmp = yes
log level = 10
max log size = 5000
security = user

[kondo]
comment = Home Directory
path = /home/kondo
#valid user = kondo
write list = kondo
force user = kondo
read only = Yes
browseable = No
guest ok = No

[test]
comment = test
path = /home/share/test
invalid users = test
#valid users = kondo
write list = kondo
force user = apache
force group = apache
read only = No
browseable = No
guest ok = No

投稿者 xml-rpc : 2008年2月14日 10:23
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69806
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。