[samba-jp:20012] Samba+OpenLDAPの環境を複数台運用している方、valid usersは使えてますか?
kondo
nobuaki3.kondo @ toshiba.co.jp
2008年 2月 14日 (木) 10:23:50 JST
近藤です。
お世話になります。
samba-3.0.25以上のバージョンのSamba+OpenLDAPの環境を複数台
(LDAPはレプリケーションして)運用している方にお聞きしたいのですが、
valid usersは使っている方、居ますでしょうか?
「[samba-jp:19866]samba-3.0.25b-1.el4_6.2になったらLDAPが使えなくなりました。」
のスレッドで投稿させてもらいましたが、最初valid usersが使えず、
valid usersをコメントアウトすることで使えるようになったのですが、
いざ運用中のサーバ全部をアップデートしようと準備していたところ、
valid usersが無い共有フォルダは、認証が通ると誰でもアクセスできる
ということが発覚しました。
write list,read list,invalid usersでアクセス制御出来てると思いましたが、
invalid usersが無効のようでしかも誰でもアクセス可能。
guest ok = noにしても誰でもアクセス可能。
read only = yesにすることでwrite list以外の書込みだけは禁止に出来る。
と言った感じです。
SID値を各Sambaサーバのnet getlocalsidで取得したローカルSIDを元に
各ユーザのSID値を変更することでvalid usersが使えることを確認しましたが、
複数のSambaサーバでOpenLDAPのデータを複製して使っていると、登録
されているSID値が適合しないので、やはりvalid usersが使えそうに無いです。
複数台のSamba+OpenLDAPの環境で運用している方はどうしているのか
参考までに教えていただけないでしょうか。
問題なく各Sambaサーバでvalid users使えてるでしょうか。
強引に解決させる方法としては、各LDAPのデータは同期させるものの、
各サーバでSID値を付け直す。といった作業を行うことで対応できるのですが、
1ユーザ追加すると、前サーバで再度SID値を付け直す必要があるため、
非常に煩雑になり、バージョンアップできないかなと思えてきてます。
[global]
workgroup = WORKGROUP
netbios name = SERVER001
server string = Samba Server Version %v
dos charset = CP932
display charset = UTF-8
create mask = 0660
force create mode = 0660
directory mask = 0770
force directory mode = 0770
#passdb backend = smbpasswd
passdb backend = ldapsam:ldap://127.0.0.1:389
ldap passwd sync = Yes
ldap ssl = no
ldap suffix = ou=XXXXX,dc=XXXXX,dc=co,dc=jp
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = cn=Manager,ou=XXXXX,dc=XXXXX,dc=co,dc=jp
utmp = yes
log level = 10
max log size = 5000
security = user
[kondo]
comment = Home Directory
path = /home/kondo
#valid user = kondo
write list = kondo
force user = kondo
read only = Yes
browseable = No
guest ok = No
[test]
comment = test
path = /home/share/test
invalid users = test
#valid users = kondo
write list = kondo
force user = apache
force group = apache
read only = No
browseable = No
guest ok = No
samba-jp メーリングリストの案内