[Samba-it] nested groups

simo simo.sorce at xsec.it
Wed Jul 26 16:51:01 MDT 2006 

On Wed, 2006-07-26 at 16:37 +0200, Alessandro Bono wrote:
> On Wednesday 26 July 2006 14:36, simo wrote:
> > On Wed, 2006-07-26 at 11:57 +0200, Alessandro Bono wrote:
> > > Ciao
> > >
> > > sto cercando di capire come funzionano i nested group ma ho trovato
> > > informazioni contrastanti
> > > nel man page c'e' scritto che bisogna abilitare il supporto nss di
> > > winbind ma nell'official howto fa un po' di esempi e non sempre le
> > > abilita
> >
> > winbind nested group e' abilitato di default.
> >
> > > la mia configurazione prevede l'uso di ldap e winbind cosi' configurati
> > > (solo parametri interessanti)
> > > ldap idmap suffix = ou=Users
> > > ldap group suffix = ou=Groups
> > > idmap backend = ldap:ldap://127.0.0.1
> > > idmap uid = 10000-20000
> > > idmap gid = 10000-20000
> > > template shell = /bin/bash
> > > winbind nested groups = yes
> > >
> > > in /etc/nsswitch.conf ho
> > >
> > > passwd:         compat ldap
> > > group:          compat ldap
> > > shadow:         compat ldap
> >
> > devi usare winbind qui se vui usare i nested groups.
> 
> Nota aggiuntiva
> 
> in qualche maniera winbind sembra interagire con nss perche' se provo a dare
> getent group 
> 
> mi ritrovo questi gruppi aggiuntivi
> .....
> variegrp:x:1008:utente
> variegrp2:x:1009:
> variegrp:x:10016:
> BUILTIN\administrators:x:10011:
> BUILTIN\account operators:x:10012:
> BUILTIN\print operators:x:10013:
> BUILTIN\backup operators:x:10014:
> BUILTIN\replicators:x:10015:
> 
> variegrp e' un gruppo locale e me lo trovo con due gid diversi e variegrp che 
> e' un gruppo di dominio ne ha uno solo come di consueto
> quando eseguo getent group nel log di winbind ci sono dei log dell'operazione

su un PDC/BDC penso che tu possa usare winbindd solo per gruppi
appartententi a BUILTIN e niente altro, o vai in conflitto con nss_ldap
che riporta le stesse info (senza il nesting ovviamente).

In teoria prima o poi covremmo estendere l'uso di nss_winbindd anche sui
pdc, ma al momento questo non e' possibile perche' potrebbe comportare
un daedlock e generalmente sui PDC non c'e' comunque bisogno di gruppi
innestati al di fuori di BUILTIN\Administrators che ingloba DOMAIN
\Domain Admins

Simo.

More information about the samba-it mailing list