[Samba-it] nested groups

Alessandro Bono sandro-smbit at cantina.dyndns.org
Wed Jul 26 16:02:03 MDT 2006 

On Wednesday 26 July 2006 14:36, simo wrote:
> On Wed, 2006-07-26 at 11:57 +0200, Alessandro Bono wrote:
> > Ciao
> >
> > sto cercando di capire come funzionano i nested group ma ho trovato
> > informazioni contrastanti
> > nel man page c'e' scritto che bisogna abilitare il supporto nss di
> > winbind ma nell'official howto fa un po' di esempi e non sempre le
> > abilita
>
> winbind nested group e' abilitato di default.
>
> > la mia configurazione prevede l'uso di ldap e winbind cosi' configurati
> > (solo parametri interessanti)
> > ldap idmap suffix = ou=Users
> > ldap group suffix = ou=Groups
> > idmap backend = ldap:ldap://127.0.0.1
> > idmap uid = 10000-20000
> > idmap gid = 10000-20000
> > template shell = /bin/bash
> > winbind nested groups = yes
> >
> > in /etc/nsswitch.conf ho
> >
> > passwd:         compat ldap
> > group:          compat ldap
> > shadow:         compat ldap
>
> devi usare winbind qui se vui usare i nested groups.
>
> > hosts:          files dns mdns
> > networks:       files
> >
> > riesco a creare un gruppo locale e ad aggiungervi un gruppo di dominio,
> > ma un utente che fa parte del gruppo di dominio non sembra far parte del
> > gruppo locale.
> > Nell'albero ldap trovo sotto Users le voci create da winbind, quindi da
> > questo punto di vista sembra funzionare
> > devo aggiungere winbind nel'nss dopo ldap o lo devo sostituire a ldap?
>
> sostituirlo no, non su un pdc, ma affiancarlo e usare un ramo diverso
> per i gruppi locali in modo che solo winbind ne sia in carico
>

ho modificato /etc/nsswitch.conf 

passwd:         compat ldap winbind
group:          compat ldap winbind
shadow:         compat ldap winbind

Ho provato con 
ldap idmap suffix = ou=Idmap
e
ldap idmap suffix = ou=LocalGroups

LocalGroups l'ho creato copiando Users
ma continua a non funzionare

ho provato ad alzare a 10 il log di winbind ma quando cerco di accedere a 
questo share

[varie]
        path = /home/export/varie
        read only = yes
        valid users = @variegrp
        write list =  @variegrp

con un utente del gruppo di dominio commerciale che fa parte di variegrp mi 
chiede user e passwd e nel log di winbind non c'e' alcuna traccia della 
richiesta di accesso

ho verificato nell'ldap ed esiste
sambaSID=S-1-5-21-2032226962-2851390817-610757514-3017,ou=Idmap,dc=dominio,dc=com
dove S-1-5-21-2032226962-2851390817-610757514-3017 e' il SID di variegrp
ed in variegrp c'e' S-1-5-21-2032226962-2851390817-610757514-3003 come 
sambaSIDList che e' il SID di commerciale
le voci su ldap mi sembrano corrette

per sicurezza ho provato ad aggiungere un utente direttamente al gruppo 
variegrp e non ha avuto problemi ad accedere allo share in questione

dove sta l'errore? faccio delle assunzioni sbagliate sul funzionamento dei 
nested groups?

grazie

> > esiste un file di configurazione per il supporto nss di winbind?
>
> no winbind us smb.conf
>
> > infine, questa feature e' stabile o e' ancora un po' ballerina?
>
> abbastanza stabile con le ultime release
>
> Simo.
>
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it

-- 
Cordiali saluti

Alessandro Bono

More information about the samba-it mailing list