2

Мы пытаемся решить то, что мы воспринимаем как проблему с поведением нашего сервера Samba. Пожалуйста, поймите, мы не утверждаем, что это ошибка в Samba. Это просто отличается от поведения, которое мы хотим.

Наш сервер Samba имеет версию 3.5.4 (выпуск 68.el6) и работает под управлением CentOS 6.0 (x86_64). Мы используем Active Directory (AD) для аутентификации, но я не уверен, что это поведение специфично для AD.

Далее следует обобщенное утверждение о нежелательном поведении, причем контекст предоставляется сначала как последовательность событий:

  1. Клиент CIFS устанавливает (и поддерживает) соединение с общим ресурсом CIFS на нашем сервере Samba.
  2. После того, как это соединение установлено, производится изменение конфигурации (примеры представлены в виде маркеров ниже), которое, по нашему мнению, должно немедленно аннулировать доступ клиента CIFS к подключенному общему ресурсу CIFS. Например:
    • Пользователь Active Directory удаляется из домена (через Центр администрирования Active Directory на контроллере домена).
    • Пользователь Active Directory удален из списка разрешенных пользователей общего ресурса CIFS (на хосте сервера Samba).
    • Общий ресурс CIFS удален (на хосте сервера Samba).

Вот нежелательное поведение. Пока клиент CIFS поддерживает существующее подключение к общему ресурсу CIFS, доступ к этому общему ресурсу не отменяется. Таким образом, пользователь продолжает иметь тот же доступ к общему ресурсу, что и при первом установлении соединения. FWIW, мы считаем, что это поведение разработано.

Требуемое поведение заключается в том, чтобы доступ был отменен, как только «изменение конфигурации», относящееся к правам доступа, будет завершено. Отключение затронутых сеансов клиента приемлемо и целесообразно, но отключение других сеансов нежелательно.

Я хотел бы донести ваши идеи до подхода, который даст желаемое поведение. Возможно, это так же просто, как изменить конфигурацию нашего сервера Samba; мы не нашли никаких параметров конфигурации, которые бы соответствовали этому поведению. Похоже, искусство обнаружения того, что доступ был отменен, является самой сложной частью всего этого.

|источник

1 ответ1

0

Я уверен, что в данный момент это невозможно, по крайней мере, не используя функциональность, встроенную в саму Samba.

Обходной путь может быть чем-то вроде cronjob, который регулярно проверяет, что все процессы smbd на машине получены от действительных пользователей, путем анализа выходных данных утилиты smbstatus для проверки того, какие пользователи вошли в систему и какие процессы обслуживают их, и проверки этих процессов. против пользователей в AD. Затем вы можете использовать эту информацию для уничтожения любых процессов для пользователей, которые больше не действительны.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .