[Samba-it] winbind e gruppi

Simo Sorce simo.sorce at xsec.it
Thu Jul 7 10:25:01 MDT 2005


On Thu, 2005-07-07 at 09:27 +0200, Andrea Dinale wrote:
> Simo Sorce disse:
> 
> >> e' normale questo:
> >>
> >> testzxc at ut001:~$ id
> >> uid029(testzxc) gid020 gruppi020
> >>
> >> testzxc at ut001:~$ getent passwd testzxc
> >> testzxc:x:10029:10020:,,,:/home/testzxc:/bin/bash
> >>
> >> testzxc at ut001:~$ getent passwd | grep zxc
> >> testzxc:x:10029:10000:,,,:/home/testzxc:/bin/bash
> >
> > potrebbe derivare sempre dal casino fatto precedenemente, prova a
> > cancellare winbindd_cache.tdb e far ripartire winbindd
> 
> 
> Non e' cambiato nulla "get ent passwd" e "get ent passwd utente" danno du
e
> risultati diversi.

Capito il problema è un bug in fase di risoluzione drastica.

Il tuo problema è che hai utilizzato un gruppo primario non mappato a
gruppo di dominio.

Per il mondo windows il gruppo primario di un utente è sempre un gruppo
di dominio e generalmente i client si arrabbiano un po' se non lo è.

Ti consiglio vivamente, come a tutti gli altri, di usare un gruppo
primario uguale per tutti gli utenti (ad esempio users) e mappare questo
gruppo sul gruppo Domain Users ( SID = SID-Dominio+RIDQ3 ).

Attenzione se cambi il PriGroup nella parte Posix non ti scrodare di
cambiare anche il PrimaryGroupSid in modo che sia consistente (se usi
ldap e fai le cose a mano).

Il problema verrà risolto con l'introduzione di un'ottimizzazione nel
caso winbind -> dominio samba. Verrà aggiunta una pipe RPC chiamata
unixinfo grazie alla quale winbbind potrà ottenere direttamente uid e
gid dell'utente unix (e quindi anche il mapping degli uid/gid in questo
caso viene elegantemente risolto in modo che siano consistenti domain
wise)

Simo.


-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399




More information about the samba-it mailing list