[Samba-it] nested groups
Alessandro Bono
sandro-smbit at cantina.dyndns.org
Wed Jul 26 16:02:03 MDT 2006
On Wednesday 26 July 2006 14:36, simo wrote:
> On Wed, 2006-07-26 at 11:57 +0200, Alessandro Bono wrote:
> > Ciao
> >
> > sto cercando di capire come funzionano i nested group ma ho trovato
> > informazioni contrastanti
> > nel man page c'e' scritto che bisogna abilitare il supporto nss di
> > winbind ma nell'official howto fa un po' di esempi e non sempre le
> > abilita
>
> winbind nested group e' abilitato di default.
>
> > la mia configurazione prevede l'uso di ldap e winbind cosi' configurati
> > (solo parametri interessanti)
> > ldap idmap suffix = ou=Users
> > ldap group suffix = ou=Groups
> > idmap backend = ldap:ldap://127.0.0.1
> > idmap uid = 10000-20000
> > idmap gid = 10000-20000
> > template shell = /bin/bash
> > winbind nested groups = yes
> >
> > in /etc/nsswitch.conf ho
> >
> > passwd: compat ldap
> > group: compat ldap
> > shadow: compat ldap
>
> devi usare winbind qui se vui usare i nested groups.
>
> > hosts: files dns mdns
> > networks: files
> >
> > riesco a creare un gruppo locale e ad aggiungervi un gruppo di dominio,
> > ma un utente che fa parte del gruppo di dominio non sembra far parte del
> > gruppo locale.
> > Nell'albero ldap trovo sotto Users le voci create da winbind, quindi da
> > questo punto di vista sembra funzionare
> > devo aggiungere winbind nel'nss dopo ldap o lo devo sostituire a ldap?
>
> sostituirlo no, non su un pdc, ma affiancarlo e usare un ramo diverso
> per i gruppi locali in modo che solo winbind ne sia in carico
>
ho modificato /etc/nsswitch.conf
passwd: compat ldap winbind
group: compat ldap winbind
shadow: compat ldap winbind
Ho provato con
ldap idmap suffix = ou=Idmap
e
ldap idmap suffix = ou=LocalGroups
LocalGroups l'ho creato copiando Users
ma continua a non funzionare
ho provato ad alzare a 10 il log di winbind ma quando cerco di accedere a
questo share
[varie]
path = /home/export/varie
read only = yes
valid users = @variegrp
write list = @variegrp
con un utente del gruppo di dominio commerciale che fa parte di variegrp mi
chiede user e passwd e nel log di winbind non c'e' alcuna traccia della
richiesta di accesso
ho verificato nell'ldap ed esiste
sambaSID=S-1-5-21-2032226962-2851390817-610757514-3017,ou=Idmap,dc=dominio,dc=com
dove S-1-5-21-2032226962-2851390817-610757514-3017 e' il SID di variegrp
ed in variegrp c'e' S-1-5-21-2032226962-2851390817-610757514-3003 come
sambaSIDList che e' il SID di commerciale
le voci su ldap mi sembrano corrette
per sicurezza ho provato ad aggiungere un utente direttamente al gruppo
variegrp e non ha avuto problemi ad accedere allo share in questione
dove sta l'errore? faccio delle assunzioni sbagliate sul funzionamento dei
nested groups?
grazie
> > esiste un file di configurazione per il supporto nss di winbind?
>
> no winbind us smb.conf
>
> > infine, questa feature e' stabile o e' ancora un po' ballerina?
>
> abbastanza stabile con le ultime release
>
> Simo.
>
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it
--
Cordiali saluti
Alessandro Bono
More information about the samba-it
mailing list