Samba - Permissão negada para grupo adicional [RESOLVIDO]

johnataat
(usa Debian)

Enviado em 08/11/2017 - 09:50h

Prezados, estou configurando um servidor de arquivo com Ubuntu Server 16.04.3 + Samba 4.3.11-Ubuntu.
E estou com problema para aplicar permissão para um grupo adicional.
O grupo principal tem acesso total, porém quando adiciono um grupo adicional o mesmo fica sem permissão.

Ex. Adicionei os grupos @informatica e @arquivo no diretório Adm.
Quando tento acessar com os usuários dos grupos adicionais o mesmo nega permissão.

Alguma ideia do que pode ser?

Agradeço desde já pela atenção.

Segue o cenário.

Diretório criado para compartilhamento:

Eu criei os diretórios usando STICK E SQUID

/home/Dados
drwxrws--T 5 root users 4096 Nov 6 09:44 Dados
---
Dentro do diretório /home/Dados:

drwxrws--T 5 root sadm 4096 Nov 6 10:48 Adm
drwxrws--T 2 root arquivo 4096 Nov 6 11:05 Arquivo
drwxrws--T 3 root informatica 4096 Nov 6 11:04 Informatica

---

Usuário criados: Foram criados sem /home e login.

adm1:x:999:100::/home/adm1:
arq1:x:998:100::/home/arq1:
ti:x:997:100::/home/ti:

---

Grupos criado:

users:x:100:adm1,arq1,ti
sadm:x:1001:adm1
arquivo:x:1002:arq1
informatica:x:1003:ti

---

Configuração do smb.conf

[global]
workgroup = WORKGROUP
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
usershare allow guests = yes

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

[Dados]
comment = Diretório principal
path = /home/Dados
browseable = no
read only = no
writable = yes
valid users = @users
force create mode = 3770
force directory mode = 3770

[Adm]
comment = Diretório adm
path = /home/Dados/Adm
browseable = no
read only = no
writable = yes
valid users = @sadm, @informatica, @arquivo
force group = sadm
force create mode = 3770
force directory mode = 3770

[Arquivo]
comment = Diretório arquivo
path = /home/Dados/Arquivo
browseable = no
read only = no
writable = yes
valid users = @arquivo
force group = arquivo
force create mode = 3770
force directory mode = 3770

[Informatica]
comment = Diretório TI
path = /home/Dados/Informatica
browseable = no
read only = no
writable = yes
valid users = @informatica
force group = informatica
force create mode = 3770
force directory mode = 3770

patrickpcs
(usa Nenhuma)

Enviado em 08/11/2017 - 10:22h

Minha opinião pessoal;
Não faz sentido esse compartilhamento já que os subdiretórios também são compartilhados.

[Dados]

comment = Diretório principal

path = /home/Dados

browseable = no

read only = no

writable = yes

valid users = @users

force create mode = 3770

force directory mode = 3770 

Minha opinião profissional;
Embora você tenha dado permissão para o grupo informática acessar o compartilhamento via samba, o grupo não possui permissão de leitura no sistema de arquivos.

Dentro do diretório /home/Dados:



drwxrws--T 5 root sadm 4096 Nov 6 10:48 Adm 

A solução aqui é você permitir que os outros usuários possam ler. A execução se faz necessária para que possam entrar em subdiretórios.
drwxrwsr-x

E ao fazer isso, basicamente você da acesso de leitura para todos os outros grupos e por isso recomendo não compartilhar /home/Dados

johnataat
(usa Debian)

Enviado em 08/11/2017 - 11:49h

Agradeço sua ajuda.
Eu compartilhei o /home/Dados, pois quando vou fazer o mapeamento no Windows ele não me deixa mapear apenas o IP. Ex. \\192.168.1.245 (assim ele não me deixa mapear), então criei esse compartilhamento para conseguir mapear. Não sei se estou certo.

Vou fazer os testes com as informações que me passou.

Realizei os testes como você mencionou o mesmo erro ocorre.
Alterei as permissões e a permissão continua sendo negada.
Estranho isso acontecer, já configurei outros servidores e não deu esse erro.

Pela pesquisa que fiz, quando usamos permissões especiais como STICK e SGID ele muda a forma da representação.