Samba: client connessi non interessati dalle modifiche all'accesso di gruppo / condivisione / utente


2

Stiamo cercando di risolvere ciò che percepiamo come un problema con il comportamento del nostro server Samba. Ti preghiamo di comprendere che non stiamo sostenendo che si tratta di un bug in Samba. È semplicemente diverso dal comportamento che vogliamo.

Il nostro server Samba è la versione 3.5.4 (versione 68.el6) e funziona con CentOS 6.0 (x86_64). Usiamo Active Directory (AD) per autenticarci, ma non sono convinto che questo comportamento sia specifico di AD.

Ciò che segue è una dichiarazione generalizzata del comportamento indesiderato, con il contesto fornito prima come una sequenza di eventi:

  1. Un client CIFS stabilisce (e mantiene) una connessione a una condivisione CIFS sul nostro server Samba.
  2. Dopo aver stabilito tale connessione, viene apportata una modifica alla configurazione (esempi forniti sotto come punti elenco) che riteniamo debba revocare immediatamente l'accesso del client CIFS alla condivisione CIFS connessa. Per esempio:
    • L'utente di Active Directory viene eliminato dal dominio (tramite il Centro amministrativo di Active Directory sul controller di dominio).
    • L'utente di Active Directory viene rimosso dall'elenco di utenti consentiti della condivisione CIFS (sull'host del server Samba).
    • La condivisione CIFS viene eliminata (sull'host del server Samba).

Ecco il comportamento indesiderato. Finché il client CIFS mantiene la connessione esistente alla condivisione CIFS, l'accesso a tale condivisione non viene revocato. Cioè, l'utente continua ad avere lo stesso accesso alla condivisione di quando aveva stabilito la connessione. FWIW, crediamo che questo comportamento sia di progettazione.

Il comportamento desiderato è la revoca dell'accesso non appena viene finalizzata la "modifica della configurazione" pertinente ai diritti di accesso. La disconnessione delle sessioni client interessate è accettabile e appropriata, ma non è consigliabile disconnettere altre sessioni.

Vorrei portare le tue idee verso un approccio che produrrà il comportamento desiderato. Forse questo è semplice come cambiare la configurazione del nostro server Samba; non abbiamo trovato alcun parametro di configurazione che appaia rilevante per questo comportamento. Sembra che l'arte di rilevare che l'accesso è stato revocato sia la parte più difficile di tutto ciò.

Risposte:


0

Sono abbastanza sicuro che questo non sia possibile al momento, almeno non usando la funzionalità integrata in Samba stesso.

Una soluzione alternativa potrebbe essere qualcosa di simile a un cronjob che verifica regolarmente che tutti i processi smbd su una macchina provengano da utenti validi, analizzando l'output smbstatusdell'utilità per verificare a quali utenti sono connessi e quali processi li stanno servendo e verificando tali processi rispetto gli utenti in AD. È quindi possibile utilizzare tali informazioni per interrompere qualsiasi processo per gli utenti che non sono più validi.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.