Toon posts:

Samba "Access denied" voor specifieke folders, voor Windows

Pagina: 1
Acties:

donderdag 25 augustus 2011 12:07

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
Goedemorgen,

Momenteel draaien we hier een iOmega NAS (die ik op het punt sta om de deur uit te gooien door alle problemen). Hier werken we op met 8 iMac en 2 Windows stations.

An sich gaat het goed met de iMacs, werken op de NAS, maar soms hebben we problemen met de Windows machines die bepaalde mappen / bestanden proberen te benaderen op de NAS. Hierbij krijgt de gebruiker een "Toegang geweigerd" bij het object.

Hier is een voorbeeld van een map:
code:
1

drwxrwxrwx+ 7 root users 87 Aug 25 11:39 adriayachting.nl


Zo zijn er velen van deze mappen, vreemd genoeg wel te bereiken door de Windows bakken. Zoals je ziet, staan de modes voor rechten al op 0777, om bij dit probleem even te voorzien dat alles te benaderen is. De "users" group, is de groep waar alle clients bij staan geregistreerd. Ook heb ik dit nog gechecked:
code:
1
2

$ groups stagiair
users Algemeen


Daarnaast heb ik de .conf van samba gechecked (gedeelte waar de map ook instaat die ik hierboven heb vermeld):
code:
1
2
3
4
5
6
7
8
9
10
11

[Opslag]
path= /mnt/soho_storage/samba/shares/Opslag/
max connections= 50
directory mode= 0777
create mode= 0777
follow symlinks= yes
wide links= no
writeable= no
valid users= "[CENSUUR-user]" "[CENSUUR-user]" "[CENSUUR-user]" "[CENSUUR-user]" 
store dos attributes= yes
write list= "[CENSUUR-user]" "[CENSUUR-user]" "[CENSUUR-user]" "[CENSUUR-user]"


Nu ben ik geen goeroe in het lezen van deze Samba conf's, maar naar mijn weten is dit in orde?

Hieronder nog de global instellingen:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

[Global]
server string= [CENSUUR-servernaam]
wins server=   
Workgroup= [CENSUUR-workgroup]
security= user
domain master= yes
preferred master= yes
local master= yes
os level= 20
invalid users= bin daemon adm sync shutdown halt mail news uucp gopher
map to guest= Bad User
host msdfs= no
msdfs root= no
null passwords= yes
strict allocate= no
encrypt passwords= yes
printcap name= lpstat
printing= cups
printable= no
load printers= yes
max smbd processes= 500
getwd cache= yes
display charset= UTF-8
log level= 0
syslog= 0
max log size= 50
use sendfile= yes


Iemand enig idee wat hier het probleem is?

donderdag 25 augustus 2011 12:26

Acties:
  • 0Henk 'm!
  • Big Mama
  • Registratie: Mei 2000
  • Laatst online: 07:11

Big Mama

De mode drwxrwxrwx+ geeft aan dat er een Access Control List aan de directory hangt.
Deze kun je uitlezen met 'getfacl <DIRNAAM>'. Met een ACL kunnen - naast de UserGroupOther rechten - ook rechten aan een specifieke user/group worden gegeven, maar ook worden ontnomen.

Computers follow your orders, not your intentions.

donderdag 25 augustus 2011 12:51

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
Bedankt voor je reactie Big Mama,

Waar zie je dat eigenlijk aan? Door de "+"?

Daarnaast, zojuist even geprobeerd om "getfacl" uit te voeren, maar dit blijkt niet standaard op deze NAS te zitten.

code:
1
2

$ getfacl the_dir/
-sh: getfacl: command not found


Misschien nog andere ideeën?

Edit: Nog een wellicht belangrijk detail: Wanneer ik de user van root, naar "stagiair" bijvoorbeeld verander, krijgt deze client wél toegang, maar alle andere Windows clients blijven buiten gesloten.

[Voor 25% gewijzigd door Anoniem: 298643 op 25-08-2011 13:13]

donderdag 25 augustus 2011 14:01

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
Na wat puzzelen met samba heb ik de log files aan kunnen zetten. Nu krijg ik een duidelijke melding waarom de mappen niet mogen benaderd worden:

failed with NT_STATUS_ACCESS_DENIED

Maar dit zegt mij verder vrij weinig...

donderdag 25 augustus 2011 14:22

Acties:
  • 0Henk 'm!
  • Joseph
  • Registratie: April 2008
  • Laatst online: 03-06 18:25

Joseph

Staan de rechten van de folder zelf wel goed ingesteld? (chmod)

donderdag 25 augustus 2011 14:39

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
@Sef24: Jup, althans, ze staan momenteel op 0777 zoals je ziet in een paar berichten terug.

donderdag 25 augustus 2011 14:41

Acties:
  • 0Henk 'm!
  • Joseph
  • Registratie: April 2008
  • Laatst online: 03-06 18:25

Joseph

Post eens de volledige logs?

donderdag 25 augustus 2011 14:59

Acties:
  • 0Henk 'm!
  • Sneezydevil
  • Registratie: Januari 2002
  • Laatst online: 13-04 20:13

Sneezydevil

Kun je eens een ls -Z doen?

Misschien staat selinux wel aan, ik kon zo snel niet vinden wat voor OS er op die IOmega draait.

donderdag 25 augustus 2011 15:04

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
@Sneezydevil
code:
1
2

$ ls -Z
 ? MODULES  ? THEME  ? _THEMEtest


Edit: En de distro:

code:
1
2

$ cat /proc/version 
Linux version 2.6.22.18 (soho@bsoho080.lss.emc.com) (gcc version 4.3.2 (crosstool-NG-1.3.1) ) #1 Wed Mar 10 11:58:52 EST 2010
Sef24 schreef op donderdag 25 augustus 2011 @ 14:41:
Post eens de volledige logs?
Ik kan helaas even niet één twee drie de logs plaatsen vanwege klantnamen e.d. in de folder namen. Ik kan ook even geen test map aanmaken, deze heeft niet standaard het zelfde probleem. Mocht het uiteindelijk toch nodig zijn, zal ik even tijd steken in het censureren van de log.

[Voor 100% gewijzigd door Anoniem: 298643 op 25-08-2011 15:10]

donderdag 25 augustus 2011 15:28

Acties:
  • 0Henk 'm!
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Hoe drastisch moet de oplossing zijn? Je kunt proberen de ACL's te disabelen met

mount jouwdevice /mnt/soho_storage -o remount,noacl

Ik denk dat je dan ook even samba moet herstarten. Maar ik heb geen idee of dit nog neveneffecten heeft.

donderdag 25 augustus 2011 15:35

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
@Mijzelf :P Liever niet te drastisch, maar momenteel leven we al een tijdje met dit probleem en het begint de laatste tijd erg veel tijd in te nemen. Mocht het inderdaad alleen op een drastische wijze opgelost kunnen worden, zal ik inderdaad overwegen om dit te doen maar dan komt kort daarop een nieuw systeem in huis, aangezien ik niet te lang zonder beveiliging wil zitten.

Vanwege bovenstaande wil ik liever deze oplossing nog even achterwege laten.

donderdag 25 augustus 2011 16:45

Acties:
  • 0Henk 'm!
  • Joseph
  • Registratie: April 2008
  • Laatst online: 03-06 18:25

Joseph

Klanten? iOmegaNAS? Dat rijmt niet.

Als je echt klanten hebt, haal dan een oude doos van de zolder waar SATA poortjes inzitten. Zet er een read-to-use NAS system op (FreeNAS, OpenFiler, TKL) of installeer je eigen Linux erop.

Ik snap dat dit je probleem niet oplost, maar iOmega is waarschijnlijk wel ergens afgeschermd. Die heksenketel die je daarvan krijgt kost je waarschijnlijk meer tijd, moeite en geld dan het oplevert.

donderdag 25 augustus 2011 16:56

Acties:
  • 0Henk 'm!

Anoniem: 298643

Topicstarter
@Sef24 I know, sowieso heeft iOmega mijn ass al meerdere malen hier flink ge-whipt, om nog maar niet over de support te spreken(!!!). Ik heb ook onderhand dus door op internet te zoeken toegang verkregen in shell die eigenlijk normaliter alleen bedoeld is voor iOmega support. Maar goed, daarom sta ik ook op het punt om de creditcard van m'n werkgever te pakken om iets anders te fixen... Maar om weer iets bij te leren en dergelijke, heb ik weer eens de moed bij elkaar geraapt om dit ding eens van dichterbij te bekijken.

Ik denk dat ik één dezer dagen nog een topic op zal starten hier met de vraag "Beste NAS oplossing voor (hoofdzakelijk) iMac's en een nihil aantal windows pc's" oid.

vrijdag 26 augustus 2011 10:39

Acties:
  • 0Henk 'm!
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Anoniem: 298643 schreef op donderdag 25 augustus 2011 @ 15:35:
Mocht het inderdaad alleen op een drastische wijze opgelost kunnen worden, zal ik inderdaad overwegen om dit te doen maar dan komt kort daarop een nieuw systeem in huis, aangezien ik niet te lang zonder beveiliging wil zitten.
Nou, zonder beveiliging is overdreven. Je hebt nog steeds je 'normale' samba en filesysteem beveiliging. Alleen extended access control op file niveau staat uit.

Mogelijk kun je ook alleen voor Samba de boel uitschakelen, op share niveau of globaal, met de regel

nt acl support = no
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee