[Samba-it] PDC - LDAP e problema con utenti che devono avere dei diritti amministrativi.

[Luigi Iotti]

> From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf Of
> Pignedoli Luca

> Ho creato un utente sul server con smbldap-useradd mettendo le opzioni:
> -g "gruppo1" -G "Domain Admins"
>
> Ma se mi loggo su un client e provo a fare un Windows update mi dice che
> non ho i diritti di amministrazione.
>
> Ho controllato in "Gesione Utenti" sul client e "Domain Admins" fa'
> parte del gruppo "Administrators".

Non è che hai nscd attivo? Io ho un sistema su cui succede questo:

# service nscd status
nscd is stopped
# id root
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),512(Domain
Admins)
# service nscd start
Starting nscd: [  OK  ]
# id root
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

Notare che nel secondo caso manca proprio Domain Admins.

Se non è questo, non sapendo che pesci pigliare, io partirei col
controllare:
che su Linux id utente restituisca sia gruppo1 che "Domain Admins";
che getent passwd e getent group diano i risultati corretti;
con net groupmap list che i gruppi in questione siano mappati correttamente,
con il SID giusto (SidDelDominio-512);
cercherei conferma su XP al fatto che l'utente venga "visto" come non
facente parte dei Domain Admins. Puoi farlo con net user utente oppure con
qualche altro tool trovato in giro.
Poi all'occorrenza con tcpdump sul'interfaccia di loopback e/o debuggando
openldap (sempre che usi quello) cercherei di capire se Samba ritrova i
gruppi correttamente.
Poi, darei un'occhiata ai log di Samba (che di tutti questi controlli, per
me è il più ostico :) .
Se non ti viene in mente un modo "diretto" per capire la causa del tuo
problema, queste verifiche potrebbero aiutarti a circoscriverlo.

HTH