rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:lezioni:samba_domain

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
doc:appunti:linux:lezioni:samba_domain [2012/11/07 11:33] – [Condivisione cartelle] niccolodoc:appunti:linux:lezioni:samba_domain [2021/02/22 17:40] – [Attivazione] niccolo
Line 115: Line 115:
 mount -o remount,usrquota,grpquota /home mount -o remount,usrquota,grpquota /home
 quotacheck --user --group --create-files /home quotacheck --user --group --create-files /home
 +quotaon /home
 </code> </code>
  
Line 247: Line 248:
  
 ==== Condivisione cartelle ==== ==== Condivisione cartelle ====
 +
 +FIXME: Negli esempi che seguono compare l'opzione **force directory security mode**, che è stata rimossa da Samba 4.0.
  
 Per comodità tutte le cartelle condivise tramite Samba sono contenute nella directory **''/home/samba/''**. Per comodità tutte le cartelle condivise tramite Samba sono contenute nella directory **''/home/samba/''**.
 +
 +Attenzione: la direttiva **''force directory mode''** in alcuni casi non è sufficiente a garantire i permessi sulle cartelle create, ad esempio con client Mac. Diventa necessaria la **''force directory security mode''**, che interviene dopo che il client SMB manipola i permessi di sicurezza NT.
  
 === Cartella pubblica === === Cartella pubblica ===
Line 331: Line 336:
    directory mask = 02770    directory mask = 02770
    force directory mode = 02770    force directory mode = 02770
-   force directory security mode = 02770 
 </file> </file>
  
Line 375: Line 379:
 L'interfaccia di amministrazoine di Swat risponde all'URL **%%http://samba_host:901/%%**. Per accedere si possono utilizzare le credenziali dell'utente **root** Unix. L'interfaccia di amministrazoine di Swat risponde all'URL **%%http://samba_host:901/%%**. Per accedere si possono utilizzare le credenziali dell'utente **root** Unix.
  
 +==== Backup e restore password Samba ====
 +
 +È possibile fare un dump (**export**) di tutti gli account Samba esistenti (e le relative password) in un file:
 +
 +<code>
 +pdbedit -e smbpasswd:/root/samba-users.backup
 +</code>
 +
 +Per recuperare gli account e le password si esegue l'**import**
 +
 +<code>
 +pdbedit -i smbpasswd:/root/samba-users.backup
 +</code>
 +===== Troubleshooting =====
 +
 +==== Login/password diversi per cartelle sullo stesso server ====
 +
 +Quando Windows deve accedere ad una cartella condivisa tenta inizialmente usando la stessa login/password utilizzata per il logon, se fallisce chiede all'utente una nuova accoppiata login/password.
 +
 +Se successivamente si tenta di accedere ad un'altra risorsa condivisa, ma **che risiede sullo stesso server remoto**, Windows **non è in grado di utilizzare un login diverso**. Il messaggio di errore è:
 +
 +<code>
 +Le connessioni multiple a un server o a una risorsa condivisa da parte dello stesso utente,
 +utilizzando più di un nome utente, non sono consentite. Interrompere tutte le connessioni
 +precedenti al server o alla risorsa condivisa e riprovare.
 +</code>
 +
 +Questo accade ad esempio se prima si accede ad una cartella in modalità Guest (e quindi qualunque login/password vengono accettati) e poi si tenta di accedere ad un'altra cartella per la quale è necessario un login/password diversi.
 +
 +Per interrompere una connessione di rete, dal Prompt dei comandi si controlla quali sono attive e quindi la si interrompe:
 +
 +<code>
 +net use
 +
 +net use \\192.168.3.74\pdf /delete
 +</code>
 +
 +Per qualche tempo la sessione con il server pare sempre funzionale, sebbene non compaia nell'elenco di **''net use''**. Si dice che per forzare la chiusura immediata della sessione si possa usare il comando:
 +
 +<code>
 +net session \\192.168.3.74 /delete
 +</code> 
 +
 +
 +Un workaround per **utilizzare nome di login diversi sullo stesso server** è indicato in questo [[http://social.technet.microsoft.com/Forums/windows/en-US/f3ee2c61-a5c7-48b3-a3bf-23ea323da699/connecting-to-multiple-shares-on-a-single-server-with-multiple-credentials-system-error-1219-?forum=itprovistanetworking|post]], in pratica si definisce un nome alternativo per lo stesso server (ad esempio mettendolo in ''C:\Windows\System32\drivers\etc\hosts'') e si effettua il browse di tale risorsa di rete; Windows viene ingannato e non capisce che si tratta dello stesso server remoto. Oltre ad un nome diverso si può anche utilizzare l'indirizzo IP.
 +
 +==== Protocollo NTLMv1 ====
 +
 +Alcuni device (es. stampanti multifunzione) utilizzano il protocollo SMB per dialogare con il mondo Windows, ma hanno versioni obsolete del protocollo di autenticazione. Ad esempio una multifunzione **Ricoh MP3003** può invare le scansioni su uno share di rete con autenticazione, ma supporta solo il protocollo //NTLM encrypted password response// che è disabilitato per impostazione predefinita in **Samba 4**. Un tentativo di autenticazione fallisce con questo log:
 +
 +<file>
 +ntlm_password_check: NTLMv1 passwords NOT PERMITTED for user username
 +ntlm_password_check: NEITHER LanMan nor NT password supplied for user username
 +check_winbind_security: Not using winbind, requested domain [WORKGROUP] was for this SAM.
 +check_ntlm_password:  Authentication for user [username] -> [username] FAILED with error NT_STATUS_WRONG_PASSWORD
 +</file>
 +
 +Nonostante il fatto che Microsoft consigli di aggiornare il software incriminato (in questo caso sarebbe il firmware della multifunzione), è possibile accettare anche il protocollo deprecato impostando in **smb.conf**:
 +
 +<file>
 +lanman auth = yes
 +ntlm auth = yes
 +</file>
doc/appunti/linux/lezioni/samba_domain.txt · Last modified: 2023/12/20 16:11 by niccolo