[Samba-it] Priviliegi e stampa

Paolo Sala piviul at riminilug.it
Fri Feb 9 16:44:01 MST 2007 

Ho un server samba membro (debian sarge con samba 3.23d) con backend 
tdbsam di un dominio sempre samba (centos con samba 3.0.10-1.4E.6) con 
backend smbpasswd. Ecco l'smb.conf del server membro.

> [global]
>         unix charset = ISO8859-15
>         workgroup = DOMINIOCSA
>         server string = %h server (Samba %v)
>         security = DOMAIN
>         obey pam restrictions = Yes
>         passdb backend = tdbsam
>         passwd program = /usr/bin/passwd %u
>         passwd chat = *Enter\snew\sUNIX\spassword:* %n\n 
> *Retype\snew\sUNIX\spassword:* %n\n .
>         syslog = 0
>         log file = /var/log/samba/log.%m
>         max log size = 1000
>         dns proxy = No
>         wins server = eth0:192.168.70.2
>         panic action = /usr/share/samba/panic-action %d
>         idmap uid = 10000-20000
>         idmap gid = 10000-20000
>         winbind enum users = Yes
>         winbind enum groups = Yes
>         invalid users = root
>         include = /etc/samba/dhcp.conf
>
> [homes]
>         comment = Home Directories
>         read only = No
>         create mask = 0700
>         directory mask = 0700
>         browseable = No
>
> [print$]
>         comment = Printer Drivers
>         path = /var/lib/samba/printers
>         write list = @domadm
>
> [mailPDF]
>         comment = Conversione in PDF: consegna via email
>         path = /tmp
>         printable = Yes
>         print command = /opt/scripts/bin/sendPDF.sh %s %U "%J" %p %m %S


Ho mappato i domain users, domain admin e domain guests con gruppi locali

> intranet:~# net groupmap list dominiocsa\domain admins 
> (S-1-5-21-2943704632-3037471470-1787688681-512) -> domadm
> Administrators (S-1-5-32-544) -> BUILTIN\administrators
> dominiocsa\domain guests 
> (S-1-5-21-2943704632-3037471470-1787688681-514) -> nogroup
> Users (S-1-5-32-545) -> BUILTIN\users
> dominiocsa\domain users 
> (S-1-5-21-2943704632-3037471470-1787688681-513) -> domusers

e dato ai domain admins il permesso SePrintOperatorPrivilege

> intranet:~# net rpc rights list accounts -U admin
> Password:
> BUILTIN\Print Operators
> No privileges assigned
>
> BUILTIN\Account Operators
> No privileges assigned
>
> BUILTIN\Backup Operators
> No privileges assigned
>
> BUILTIN\Server Operators
> No privileges assigned
>
> BUILTIN\Administrators
> SeMachineAccountPrivilege
> SeTakeOwnershipPrivilege
> SeBackupPrivilege
> SeRestorePrivilege
> SeRemoteShutdownPrivilege
> SePrintOperatorPrivilege
> SeAddUsersPrivilege
> SeDiskOperatorPrivilege
>
> Everyone
> No privileges assigned
>
> DOMINIOCSA\Domain Admins
> SePrintOperatorPrivilege


Ed ecco le stranezze riscontrate:
- la già citata (vedi il thread printer admin) impossibilità di poter 
installare da client tramite APW il driver sul server in modo da poter 
poter facilmente installare la stampante da client windows senza bisogno 
di selezionare un driver.
- Da client windows 2000 se l'utente è fra i power users locali l'utente 
se installa la stampante condivisa mailPDF può utilizzarla, ma non può 
vedere la coda di stampa e il client gli dice accesso negato. Se invece 
non è fra i power users locali può tranquillamente stampare e vedere la 
coda della stampante.

Ed ora le domande:
- A parte l'anomalia citata sopra dei membri del gruppo power users, per 
poter stampare e vedere la coda di stampa l'utente deve avere il 
privilegio SePrintOperatorPrivilege?
- È necessario mappare l'administrator locale all'utente root con 
"pdbedit -U sid -u root -r"?

Grazie mille davvero a chiunque mi possa aiutare

Piviul

More information about the samba-it mailing list