[Samba-it] nested groups

Alessandro Bono sandro-smbit at cantina.dyndns.org
Wed Jul 26 17:19:01 MDT 2006 

On Wednesday 26 July 2006 16:50, simo wrote:
> On Wed, 2006-07-26 at 16:37 +0200, Alessandro Bono wrote:
> > On Wednesday 26 July 2006 14:36, simo wrote:
> > > On Wed, 2006-07-26 at 11:57 +0200, Alessandro Bono wrote:
> > > > Ciao
> > > >
> > > > sto cercando di capire come funzionano i nested group ma ho trovato
> > > > informazioni contrastanti
> > > > nel man page c'e' scritto che bisogna abilitare il supporto nss di
> > > > winbind ma nell'official howto fa un po' di esempi e non sempre le
> > > > abilita
> > >
> > > winbind nested group e' abilitato di default.
> > >
> > > > la mia configurazione prevede l'uso di ldap e winbind cosi'
> > > > configurati (solo parametri interessanti)
> > > > ldap idmap suffix = ou=Users
> > > > ldap group suffix = ou=Groups
> > > > idmap backend = ldap:ldap://127.0.0.1
> > > > idmap uid = 10000-20000
> > > > idmap gid = 10000-20000
> > > > template shell = /bin/bash
> > > > winbind nested groups = yes
> > > >
> > > > in /etc/nsswitch.conf ho
> > > >
> > > > passwd:         compat ldap
> > > > group:          compat ldap
> > > > shadow:         compat ldap
> > >
> > > devi usare winbind qui se vui usare i nested groups.
> >
> > Nota aggiuntiva
> >
> > in qualche maniera winbind sembra interagire con nss perche' se provo a
> > dare getent group
> >
> > mi ritrovo questi gruppi aggiuntivi
> > .....
> > variegrp:x:1008:utente
> > variegrp2:x:1009:
> > variegrp:x:10016:
> > BUILTIN\administrators:x:10011:
> > BUILTIN\account operators:x:10012:
> > BUILTIN\print operators:x:10013:
> > BUILTIN\backup operators:x:10014:
> > BUILTIN\replicators:x:10015:
> >
> > variegrp e' un gruppo locale e me lo trovo con due gid diversi e variegrp
> > che e' un gruppo di dominio ne ha uno solo come di consueto
> > quando eseguo getent group nel log di winbind ci sono dei log
> > dell'operazione
>
> su un PDC/BDC penso che tu possa usare winbindd solo per gruppi
> appartententi a BUILTIN e niente altro, o vai in conflitto con nss_ldap
> che riporta le stesse info (senza il nesting ovviamente).
>
> In teoria prima o poi covremmo estendere l'uso di nss_winbindd anche sui
> pdc, ma al momento questo non e' possibile perche' potrebbe comportare
> un daedlock e generalmente sui PDC non c'e' comunque bisogno di gruppi
> innestati al di fuori di BUILTIN\Administrators che ingloba DOMAIN
> \Domain Admins

ok niente nested groups

grazie

>
> Simo.
>
>
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it

-- 
Cordiali saluti

Alessandro Bono

More information about the samba-it mailing list