[Samba-it] nested groups

Alessandro Bono sandro-smbit at cantina.dyndns.org
Wed Jul 26 16:38:02 MDT 2006 

On Wednesday 26 July 2006 14:36, simo wrote:
> On Wed, 2006-07-26 at 11:57 +0200, Alessandro Bono wrote:
> > Ciao
> >
> > sto cercando di capire come funzionano i nested group ma ho trovato
> > informazioni contrastanti
> > nel man page c'e' scritto che bisogna abilitare il supporto nss di
> > winbind ma nell'official howto fa un po' di esempi e non sempre le
> > abilita
>
> winbind nested group e' abilitato di default.
>
> > la mia configurazione prevede l'uso di ldap e winbind cosi' configurati
> > (solo parametri interessanti)
> > ldap idmap suffix = ou=Users
> > ldap group suffix = ou=Groups
> > idmap backend = ldap:ldap://127.0.0.1
> > idmap uid = 10000-20000
> > idmap gid = 10000-20000
> > template shell = /bin/bash
> > winbind nested groups = yes
> >
> > in /etc/nsswitch.conf ho
> >
> > passwd:         compat ldap
> > group:          compat ldap
> > shadow:         compat ldap
>
> devi usare winbind qui se vui usare i nested groups.

Nota aggiuntiva

in qualche maniera winbind sembra interagire con nss perche' se provo a dare
getent group 

mi ritrovo questi gruppi aggiuntivi
.....
variegrp:x:1008:utente
variegrp2:x:1009:
variegrp:x:10016:
BUILTIN\administrators:x:10011:
BUILTIN\account operators:x:10012:
BUILTIN\print operators:x:10013:
BUILTIN\backup operators:x:10014:
BUILTIN\replicators:x:10015:

variegrp e' un gruppo locale e me lo trovo con due gid diversi e variegrp che 
e' un gruppo di dominio ne ha uno solo come di consueto
quando eseguo getent group nel log di winbind ci sono dei log dell'operazione


>
> > hosts:          files dns mdns
> > networks:       files
> >
> > riesco a creare un gruppo locale e ad aggiungervi un gruppo di dominio,
> > ma un utente che fa parte del gruppo di dominio non sembra far parte del
> > gruppo locale.
> > Nell'albero ldap trovo sotto Users le voci create da winbind, quindi da
> > questo punto di vista sembra funzionare
> > devo aggiungere winbind nel'nss dopo ldap o lo devo sostituire a ldap?
>
> sostituirlo no, non su un pdc, ma affiancarlo e usare un ramo diverso
> per i gruppi locali in modo che solo winbind ne sia in carico
>
> > esiste un file di configurazione per il supporto nss di winbind?
>
> no winbind us smb.conf
>
> > infine, questa feature e' stabile o e' ancora un po' ballerina?
>
> abbastanza stabile con le ultime release
>
> Simo.
>
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it

-- 
Cordiali saluti

Alessandro Bono

More information about the samba-it mailing list