Perguntas[samba](server)

Tentando configurar o samba para compartilhar minhas unidades (localmente para máquinas virtuais). Usando o Fedora.

Os compartilhamentos funcionam com sudo setenforce 0, então é um problema do SELinux

Aqui estão minhas regras do SELinux.

sudo semanage fcontext -l | grep samba
/home/hanuman(/.*)?                                all files          system_u:object_r:samba_share_t:s0 
/run/media/hanuman(/.*)?                           all files          system_u:object_r:samba_share_t:s0 

Aqui está o registro

type=AVC msg=audit(1718035536.971:480): avc:  denied  { getattr } for  pid=7754 comm="smbd[192.168.1." path=2F72756E2F6D656469612F68616E756D616E2F53746F726167652D6E7466732F4D6F73742042656175746966756C204368696E65736520536F6E6720596F752077696C6C20457665722048656172203230313020323031352E6D7033 dev="sda1" ino=228609 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:fusefs_t:s0 tclass=file permissive=0

o que estou perdendo?

Estou notando smbd_tvs samba_share_t, qual é a diferença?

audit2allow -w -asugere setsebool -P samba_export_all_rw 1que, embora funcione, não é a melhor solução.

Estou recebendo o seguinte erro ao tentar navegar em um compartilhamento do Samba:

session setup failed: NT_STATUS_NO_IMPERSONATION_TOKEN

Minha configuração do Samba para vincular um servidor independente smbdà configuração MIT Kerberos e OpenLDAP costumava funcionar (definitivamente funcionava com o Ubuntu 20.04, não me lembro se alguma vez funcionou com o Ubuntu 22.04):

<smb.conf>

[global]
# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = EXAMPLE

# The 'auto' setting here configures Samba based on the value of the
# 'security' setting.
   server role = auto

# Configure Samba to call out to Kerberos for all authentication. Because we're
# not also configuring a passdb, Samba will look to the system accounts for all
# authorization info (e.g. UIDs, groups, etc.). This setup was taken from
# https://help.ubuntu.com/lts/serverguide/samba-ldap.html.
   security = ads
   realm = EXAMPLE.COM
   kerberos method = dedicated keytab
   dedicated keytab file = /etc/samba/smbd.keytab

   idmap config * : backend = tdb
   idmap config * : range = 20001-30000
   idmap config {{ domain | upper }} : backend = rfc2307
   idmap config {{ domain | upper }} : range = 10000-20000

Eu poderia então pegar um ticket Kerberos e navegar e/ou montar compartilhamentos Samba, por exemplo:

$ kinit
Password for [email protected]: 

$ /usr/bin/smbclient //neatbox.example.com/share --use-kerberos=required --no-pass --directory somepath --command ls
  .                                   D        0  Fri May  6 07:10:08 2022
  ..                                  D        0  Fri May  6 07:10:08 2022
  stuff                               D        0  Fri May  6 07:10:08 2022
  otherstuff                          D        0  Fri May  6 07:10:13 2022

        957134040 blocks of size 1024. 620537476 blocks available

Há muito tempo, porém, isso parou de funcionar (há um ou dois anos; só não tive tempo de sentar e mexer nisso até agora; ser pai é, tipo, muito, sabe?). Agora eu entendo isso:

$ /usr/bin/smbclient //neatbox.example.com/share --use-kerberos=required --no-pass --directory somepath --command ls
session setup failed: NT_STATUS_NO_IMPERSONATION_TOKEN

Passei algumas noites pesquisando agora e acho que algo quebrou ou foi removido no Samba 4.14. Algo sobre PACs, que aparentemente fazem parte dos tickets do Kerberos... de alguma forma? [1, 2, 3] Não sei, não sou especialista em Kerberos; Eu apenas misturo as coisas no teclado até que funcionem, como a maioria das pessoas.

Então aqui está minha pergunta principal: o Samba suporta autenticação via MIT Kerberos e OpenLDAP como costumava fazer, ou agora está obsoleto/sem suporte?

Miscelânea

O smbdlog sempre contém isto, logo após iniciar/reiniciar:

$ sudo systemctl status smbd
...
Dec 24 20:53:29 eddings systemd[1]: Starting Samba SMB Daemon...
Dec 24 20:53:29 eddings smbd[782101]: [2023/12/24 20:53:29.593145,  0] ../../source3/smbd/server.c:1734(main)
Dec 24 20:53:29 eddings smbd[782101]:   smbd version 4.15.13-Ubuntu started.
Dec 24 20:53:29 eddings smbd[782101]:   Copyright Andrew Tridgell and the Samba Team 1992-2021
Dec 24 20:53:29 eddings systemd[1]: Started Samba SMB Daemon.
Dec 24 20:53:30 eddings smbd[782101]: [2023/12/24 20:53:30.244701,  0] ../../source3/printing/nt_printing.c:233(nt_printing_init)
Dec 24 20:53:30 eddings smbd[782101]:   nt_printing_init: error checking published printers: WERR_ACCESS_DENIED

Às vezes, de forma não reproduzível, também acaba com vários destes erros:

Dec 24 11:06:27 eddings smbd[766136]: [2023/12/24 11:06:27.972690,  0] ../../source3/auth/auth_winbind.c:120(check_winbind_security)
Dec 24 11:06:27 eddings smbd[766136]:   check_winbind_security: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS

Não tenho certeza se são relevantes, mas as smbclientfalhas não parecem desencadeá-las, então... provavelmente não estão relacionadas.

[1] https://bugzilla.samba.org/show_bug.cgi?id=14901 (tentei as configurações username map scripte local nt token fromlá e não funcionou)

[2] https://lists.fedorahosted.org/archives/list/ [email protegido] /thread/6CTEYZ63WEPHR6GESDSUGNS57XGNTD2U/#6CTEYZ63WEPHR6GESDSUGNS57XGNTD2U

Eu tenho um backup de todos os arquivos/pastas de uma instalação do Linux que tinha o Samba em execução e alguns compartilhamentos.

Esta instalação estava usando o registro para configurar os compartilhamentos para que eles não estivessem no formato /etc/samba/smb.conf.

Onde posso encontrar as configurações/compartilhamentos que foram configurados? Não consigo inicializar este sistema, então isso não é uma opção.

Estou realmente com este. O que pretendo é que os instantâneos com uma tag opcional na frente, bem como os instantâneos não marcados, sejam vistos nas janelas como cópias anteriores, por exemplo, nomes de arquivos como:

/mnt/pool1/.snapshots/Backup/GMT-2023.07.16-12.53.26
/mnt/pool1/.snapshots/Backup/Sometagname_GMT-2023.07.16-12.53.26
/mnt/pool1/.snapshots/Backup/anothertagname23_GMT-2023.07.16-12.53.26

Se eu definir o smb.conf da seguinte maneira, as cópias de sombra não marcadas serão vistas pelo Windows conforme o esperado.

shadow:snapdir = /mnt/pool1/.snapshots/Backup
shadow:basedir = /mnt/pool1/Backup  
shadow:sort = desc
shadow:format = GMT-%Y.%m.%d-%H.%M.%S
shadow:localtime = yes

Eu tentei todas as combinações de regex e configuração que posso imaginar, mas não consigo encontrar valores para shadow:snapprefix e shadow:delimiter que alcancem isso. Aqui estão algumas combinações que tentei, por exemplo:

shadow:format = %Y.%m.%d-%H.%M.%S
shadow:localtime = yes
shadow:snapprefix = ^[A-Za-z0-9]\{0,\}\(_\)\{0,1\}\(GM\)\{1\}
shadow:delimiter = T-
shadow:format = %Y.%m.%d-%H.%M.%S

shadow:format = GMT-%Y.%m.%d-%H.%M.%S
shadow:localtime = yes
shadow:snapprefix = ^[A-Za-z0-9]*\(_\)?
shadow:delimiter = GMT-
shadow:format = GMT-%Y.%m.%d-%H.%M.%S

Qualquer ajuda seria muito apreciada, pois já passei várias horas trabalhando em combinações e pesquisando on-line!

Estou configurando o servidor Ubuntu com o Samba. O sistema de arquivos é BTRFS e não consigo fazer com que o Windows veja as versões anteriores dos instantâneos.

Meu smb.conf tem isso para o compartilhamento:

[Backup]
    path = /mnt/pool1/backup
    comment = Share for backups
    writeable = yes
    delete readonly = yes
    browseable = yes

    vfs object = recycle shadow_copy2

    recycle:repository = /mnt/pool1/backup/.recycle/%U
    recycle:touch = Yes
    recycle:keeptree = Yes
    recycle:versions = Yes
    recycle:noversions = *.tmp,*.temp,*.o,*.obj,*.TMP,*.TEMP
    recycle:exclude = *.tmp,*.temp,*.o,*.obj,*.TMP,*.TEMP
    recycle:excludedir = /.recycle,/tmp,/temp,/TMP,/TEMP

    shadow:snapdir = /mnt/pool1/snapshots/backup
    shadow:basedir = /mnt/pool1/backup
    shadow:sort = desc
    shadow:format = GMT-%Y.%m.%d-%H.%M.%S

A estrutura do diretório é a seguinte: o volume BTRFS é montado em /mnt/pool1 e os compartilhamentos e o diretório instantâneo estão neste nível:

ll /mnt/pool1
total 20
drwxr-xr-x 1 root root    98 Jul 14 09:14 ./
drwxr-xr-x 4 root root  4096 Jul 14 09:13 ../
drwxrwxr-x 1 root users   74 Jul 14 11:28 backup/
drwxrwxr-x 1 root users    0 Jul 13 16:50 docker/
drwxrwxr-x 1 root users    0 Jul 13 16:49 homes/
drwxrwxr-x 1 root users    0 Jul 13 16:51 install/
drwxrwxr-x 1 root users    0 Jul 13 16:51 media/
drwxrwxr-x 1 root users   80 Jul 13 16:58 snapshots/
drwxrwxr-x 1 root users    0 Jul 13 16:51 timemachine/

ll /mnt/pool1/snapshots
total 16
drwxrwxr-x 1 root users  80 Jul 13 16:58 ./
drwxr-xr-x 1 root root   98 Jul 14 09:14 ../
drwxrwxr-x 1 root users 184 Jul 14 11:55 backup/
drwxrwxr-x 1 root users   0 Jul 13 16:58 docker/
drwxrwxr-x 1 root users   0 Jul 13 16:58 homes/
drwxrwxr-x 1 root users   0 Jul 13 16:58 install/
drwxrwxr-x 1 root users   0 Jul 13 16:58 media/
drwxrwxr-x 1 root users   0 Jul 13 16:58 timemachine/

A estrutura em uso é que o diretório de instantâneos tenha um subdiretório por compartilhamento. Você pode ver os nomes dos arquivos nos instantâneos que já tenho:

tree -a
.
├── backup
│   ├── .recycle
│   │   └── ubuntu
│   │       └── File from windows - Copy.txt
│   ├── File from windows.txt
│   └── test.txt
├── docker
├── homes
├── install
├── media
├── snapshots
│   ├── backup
│   │   ├── GMT-2023.07.14-09.19.31
│   │   │   └── test.txt
│   │   ├── GMT-2023.07.14-09.30.57
│   │   │   └── test.txt
│   │   ├── GMT-2023.07.14-09.57.41
│   │   │   └── test.txt
│   │   └── GMT-2023.07.14-10.48.31
│   │       └── test.txt
│   ├── docker
│   ├── homes
│   ├── install
│   ├── media
│   └── timemachine
└── timemachine

Não consigo encontrar nada nos logs para ajudar a investigar isso e não parece haver nenhuma maneira de diagnosticar qual é o problema do lado do servidor. Alguém pode sugerir o que pode estar errado aqui, por favor, ou como posso obter mais informações de diagnóstico? Muito obrigado, Artur

Eu tenho uma instalação proxmox com alguns compartilhamentos ZFS. Os compartilhamentos são criados usando

zfs create storage/photos
sudo zfs set acltype=posixacl storage/photos

O usuário é criado usando

sudo adduser --system --no-create-home samba-peter
sudo smbpasswd -a samba-peter
sudo setfacl -R -m "u:samba-peter:rwx" /storage/photos

então eu adiciono

[photos]
   comment = photos
   path = /storage/photos
   read only = no
   writable = yes
   browseable = yes
   guest ok = no
   valid users = @samba-peter

e /etc/samba/smb.confaumentar o log usando log level = 2 winbind:5.

Agora, quando tento conectar usando Windows 10 21H2 19044.2604logs

==> /var/log/samba/log.smbd <==
[2023/03/06 17:22:10.679844,  2] ../../source3/lib/tallocmsg.c:84(register_msg_pool_usage)
  Registered MSG_REQ_POOL_USAGE

==> /var/log/samba/log.192.168.0.19 <==
[2023/03/06 17:22:10.685627,  2] ../../source3/auth/auth.c:323(auth_check_ntlm_password)
  check_ntlm_password:  authentication for user [samba-peter] -> [samba-peter] -> [samba-peter] succeeded
[2023/03/06 17:22:10.686016,  2] ../../source3/param/loadparm.c:2864(lp_do_section)
  Processing section "[photos]"

==> /var/log/samba/log.fryr <==
[2023/03/06 17:22:10.689318,  1] ../../source3/smbd/service.c:362(create_connection_session_info)
  create_connection_session_info: user 'samba-peter' (from session setup) not permitted to access this share (photos)
[2023/03/06 17:22:10.689346,  1] ../../source3/smbd/service.c:543(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED

Parece que a autenticação foi bem-sucedida (se eu fizer login usando a senha errada, o log informa que a senha estava incorreta). Mas o acesso ao diretório falha, mas o que estou perdendo, dei acesso usandosetfacl -R -m "u:samba-peter:rwx" /storage/photos

Versão Samba: Versão 4.13.13-Debian
Sistema operacional: Debian GNU/Linux 11 (bullseye)
Kernel: Linux 5.15.85-1-pve Versão ZFS: zfs-2.1.9-pve1, zfs-kmod-2.1.9-pve1

Eu tenho uma montagem com SAMBA usando o seguinte no fstab:

//source/files /mnt/files cifs user,_netdev,cache=none,credentials=/usr/src/access.smb 0 0

E então eu tenho a seguinte linha mount --bind:

/mnt/files /var/www/html/data none defaults,bind 0 0

Mas a segunda montagem não está funcionando. Se eu reiniciar o computador, apenas a primeira montagem funciona. Eu preciso montar manualmente o segundo (usando bind)

Por favor, alguém pode me ajudar? Eu vi este post no Unix Stack Exchange, mas não entendi: https://unix.stackexchange.com/questions/216287/how-do-i-set-up-bind-mounts-on-startup-correctly-in -o-mundo-do-sistema

Desde já, obrigado.

Recentemente, adicionei uma unidade ao meu servidor. No entanto, verifiquei meu computador esta manhã para descobrir que a unidade não aparece no NTFS e notei que todas as pastas e arquivos haviam desaparecido desse ponto de montagem no servidor.

Nota: estou usando o Ubuntu CLI 20.04.4 LTS || A imagem anexada mostra os logs do sistema.

sudo cat /var/log/syslog | grep sdb1

Estou tentando cortar o acesso de um usuário ldap ao servidor samba. Desabilitar a senha não é uma opção, pois o usuário precisa manter o acesso a outros serviços como o Nextcloud que está conectado ao mesmo diretório ldap. Como eu conseguiria isso?

É assim que meu diretório ldap para este usuário se parece:

Tenho dois servidores na mesma rede. Um rodando Windows Server 2016 e outro rodando CentOS 8. O servidor Windows é meu principal repositório de arquivos, é onde estão todos os meus dados. O servidor CentOS tem o compartilhamento do Windows montado e pode acessar seus arquivos.

No CentOS, configurei um compartilhamento de samba. Por quê? Porque eu tenho um webapp rodando no mesmo servidor e quero que o webapp controle quem pode acessar qual arquivo. Portanto, em vez de nossos usuários (internos) montarem o compartilhamento do Windows diretamente, eles montarão o compartilhamento do CentOS, que será o acesso de "guardião" aos arquivos.

Na pasta samba, existem pastas para cada usuário e uma configuração para permitir que os usuários acessem apenas suas pastas. O webapp está configurado para adicionar links simbólicos nessas pastas que vinculam aos arquivos "reais".

É aqui que está a questão. Se eu adicionar arquivos "normais" na pasta de um usuário, eles poderão acessá-lo muito bem. Mas se eu adicionar um link simbólico (para um arquivo no compartilhamento do Windows montado), ele não aparecerá para eles. Tenho certeza de que este é um problema do SELinux.

Veja como as coisas estão configuradas.

• O compartilhamento do Windows está montado

  sudo mount -t cifs //WindowsShare/data /media/WinShare \ 
    -o ip=192.168.1.5,username=user,gid=sambashare
  
  ls -alhZ /media/WinShare
  drwxr-xr-x. 2 root sambashare system_u:object_r:cifs_t:s0  0 Jan 10 16:57 files
  

• Um compartilhamento de samba é criado e usado /srv/smb(todos os usuários de samba estão no sambasharegrupo)

  ls -alhZ /srv
  drwxrwx---.  2 root sambashare unconfined_u:object_r:samba_share_t:s0    6 Jan 13 11:20 smb
  

• O /etc/samba/smb.conftem o seguinte:

  [global]
      allow insecure wide links = yes
      unix extensions = no
  
  [adminShare]
      path = /srv/smb
      wide links = yes
      follow symlinks = yes
  

• Como teste, adicionei um link simbólico e um arquivo

  ln -s /media/WinShare/files/test.pdf /srv/smb/test.pdf
  touch /srv/smb/file.bin
  

Então tentei montar \\CentOS\adminShareem uma VM do Windows e não vejo o test.pdfarquivo, mas vejo file.bin.

Como posso conceder ao compartilhamento de samba do CentOS acesso aos dados montados do Windows Server? Ao configurar o servidor CentOS, executei:

sudo semanage fcontext -a -t samba_share_t "/srv/smb(/.*)?"

Foi isso que me permitiu ver file.bin, mas ainda não consigo ver file.pdf. Encontrei isso, mas não sei se quero mudar tudo :

sudo setsebool -P samba_export_all_rw=1

Como posso permitir que o samba acesse a /media/WinSharepasta? Isso funcionaria?

sudo semanage fcontext -a -t samba_share_t "/media/WinShare(/.*)?"