Konfiguracja W Rytmie Samby

[Jony]

Na początek od razu uprzedzę, że szukałem rozwiązania problemu na tym i nie tylko tym forum.

Skonfigurowałem sambę według tego przepisu.

Po czym mój plik smb.conf wygląda następująco:

[global]
workgroup = WTZ_OSTROW
server string = Linux
netbios name = fedora
guest account = nobody
security = share
password level = 8
username level = 8

[serwerek]
comment = Serwerek
path = /serwerek
writeable = yes
guest ok = yes
browseable = yes
public = yes
available = yes

Potem skonfigurowałem firewalla i SELinuksa:

chcon -R -h -t samba_share_t /serwerek

Na komputery z Windowsem mogę swobodnie wchodzić, ale z pod okienek już nie, choć widać Linuksa.

Próbowałem też skonfigurować sambę przy pomocy narzędzia system-config-samba i się udało ale połowicznie, tzn. wszystko dobrze działało do czasu restartu samby. Przy konfiguracji narzędziem system-config-samba SELinux zgłaszał błąd:

Podsumowanie:

SELinux is preventing the nmbd from using potentially mislabeled files
(/home/start/.xsession-errors).

Szczegółowy opis:

SELinux has denied nmbd access to potentially mislabeled file(s)
(/home/start/.xsession-errors). This means that SELinux will not allow nmbd to
use these files. It is common for users to edit files in their home directory or
tmp directories and then move (mv) them to system directories. The problem is
that the files end up with the wrong file context which confined applications
are not allowed to access.

Zezwalanie na dostęp:

If you want nmbd to access this files, you need to relabel them using restorecon
-v '/home/start/.xsession-errors'. You might want to relabel the entire
directory using restorecon -R -v '/home/start'.

Dodatkowe informacje:

Kontekst źródłowy          unconfined_u:system_r:nmbd_t:s0
Kontekst docelowy             system_u:object_r:user_home_t:s0
Obiekty docelowe              /home/start/.xsession-errors [ file ]
Źródło                     nmbd
Ścieżka źródłowa         /usr/sbin/nmbd
Port                          <Nieznane>
Komputer                      Linux
Źródłowe pakiety RPM       samba-3.2.4-0.21.fc9
Docelowe pakiety RPM          
RPM polityki                  selinux-policy-3.3.1-103.fc9
SELinux jest włączony       True
Typ polityki                  targeted
MLS jest włączone           True
Tryb wymuszania               Enforcing
Nazwa wtyczki                 home_tmp_bad_labels
Nazwa komputera               Linux
Platforma                     Linux Linux 2.6.26.6-79.fc9.x86_64 #1 SMP Fri Oct
                             17 14:20:33 EDT 2008 x86_64 x86_64
Licznik alarmów              9
Po raz pierwszy               śro, 5 lis 2008, 14:48:09
Po raz ostatni                czw, 6 lis 2008, 13:54:07
Lokalny identyfikator         c1002c5f-fa8b-4403-a319-05574bd89159
Liczba wierszy                

Surowe komunikaty audytu      

host=Linux type=AVC msg=audit(1225976047.780:24): avc:  denied  { read append } for  pid=2731 comm="nmbd" path="/home/start/.xsession-errors" dev=sda8 ino=615614 scontext=unconfined_u:system_r:nmbd_t:s0 tcontext=system_u:object_r:user_home_t:s0 tclass=file

host=Linux type=SYSCALL msg=audit(1225976047.780:24): arch=c000003e syscall=59 success=yes exit=0 a0=20392e0 a1=20390d0 a2=20399a0 a3=7fff98fb75c0 items=0 ppid=2730 pid=2731 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=1 comm="nmbd" exe="/usr/sbin/nmbd" subj=unconfined_u:system_r:nmbd_t:s0 key=(null)

I nie wiem czy czegoś brakuje w smb.conf czy może coś trzeba zmienić w polityce SELinuksa?

Aha /serwerek jest osobną partycją. Czy to ma jakieś znaczenie?

[@WalDo]

Jeśli chodzi o sambę i SElinux, to może tu coś znajdziesz → http://www.mjmwired.net/resources/mjm-fedora-f9.html#samba

 

A w opisie błędu, który podałeś masz prawdopodobnie rowiązanie (w każdym razie jego część)

(...)relabel them using restorecon -v '/home/start/.xsession-errors'.

You might want to relabel the entire directory using restorecon -R -v '/home/start'.

[Jony]

Straciłem cierpliwość. Skonfigurowałem sambę i wszystko mi pięknie działało. Po restarcie samby też działało, ale po ponownym uruchomieniu komputera już nie.

[Mati_17]

Witam

Ja u siebie sambę konfigurowałem przy pomocy tego OPIS -u oraz narzędzia system-config-samba i wszystko działa - ale mam troszkę inny problem a mianowicie stworzyłem dwa katalogi: "globalny" oraz "konfiguracje" - do folderu ?konfiguracje? ma dostęp tylko jeden użytkownik (musi podać nazwę i hasło) natomiast do folderu ?globalny? wszyscy. Konto gościa ustawiłem na nobody i teraz jak przeglądam otoczenie sieciowe przy pomocy Fedory to wszystko działa do folderu "globalny" wchodzę bez problemu, a przy próbie dostania się do folderu "konfiguracje" pyta o użytkownika i hasło. Problem zaczyna się gdy chcę to samo zrobić z poziomu komputera z systemem WinXP - przy próbie wejścia do jednego bądź drugiego katalogu zawsze pyta o hasło i mogę się dostać do nich tylko podając nazwę użytkownika i hasło którego definiowałem do folderu "konfiguracje"

Jak zrobic tak, żeby do folderu "globalny" dostęp mieli wszyscy bez potrzeby podawania nazwy użytkownika i hasła ?

[Jony]

[...]Jak zrobic tak, żeby do folderu "globalny" dostęp mieli wszyscy bez potrzeby podawania nazwy użytkownika i hasła ?

Z tego co pamiętam w pliku konfiguracyjnym samby w sekcji dla folderu globalny musisz mieć wpisane:

guest ok = yes

Aha sprawdź jeszcze co masz w sekcji [global] w pozycji:

security = share

Jeśli masz inaczej to popraw.

A tak w ogóle to mógłbyś poszukać coś na necie odnośnie konfiguracji samby, bo treści na ten temat jest sporo i takie podstawowe ustawienia są dość dobrze opisane.

[Mati_17]

No więc poprawiłem co trzeba i teraz bez logowania mam dostęp do katalogu "globalny", ale przy próbie dostania się do katalogu "konfiguracje" wyskakuje mi okienko logowanie gdzie pole użytkownik jest szare i widnieje tam wpis SERWER\Gość i wymaga tylko podania hasła - czemu nie prosi o podanie nazwy użytkownika który został domyślnie przypisany do tego katalogu? - hasło pasuje, ale nurtuje mnie ten użytkownik.

To nie jest tak, że nie czytałem nic o konfiguracji SAMBY, bo gdyby tak było to pewnie bym nie zrobił tego co już mam , ale gdzieś przeczytałem, że zabezpieczenie SAMBY na poziomie udziału nie jest dobrym pomysłem i już od samego początku uparłem się na uwierzytelnianie jako user i to z nim tak uparcie walczę.

Czy przy zastosowaniu uwierzytelniania jako user do każdego katalogu muszę przypisywać użytkownika i hasło – jak to wygląda w praktyce ?? - jeśli można zapytać