[Samba-it] Priviliegi e stampa
Paolo Sala
piviul at riminilug.it
Fri Feb 9 16:44:01 MST 2007
Ho un server samba membro (debian sarge con samba 3.23d) con backend
tdbsam di un dominio sempre samba (centos con samba 3.0.10-1.4E.6) con
backend smbpasswd. Ecco l'smb.conf del server membro.
> [global]
> unix charset = ISO8859-15
> workgroup = DOMINIOCSA
> server string = %h server (Samba %v)
> security = DOMAIN
> obey pam restrictions = Yes
> passdb backend = tdbsam
> passwd program = /usr/bin/passwd %u
> passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
> *Retype\snew\sUNIX\spassword:* %n\n .
> syslog = 0
> log file = /var/log/samba/log.%m
> max log size = 1000
> dns proxy = No
> wins server = eth0:192.168.70.2
> panic action = /usr/share/samba/panic-action %d
> idmap uid = 10000-20000
> idmap gid = 10000-20000
> winbind enum users = Yes
> winbind enum groups = Yes
> invalid users = root
> include = /etc/samba/dhcp.conf
>
> [homes]
> comment = Home Directories
> read only = No
> create mask = 0700
> directory mask = 0700
> browseable = No
>
> [print$]
> comment = Printer Drivers
> path = /var/lib/samba/printers
> write list = @domadm
>
> [mailPDF]
> comment = Conversione in PDF: consegna via email
> path = /tmp
> printable = Yes
> print command = /opt/scripts/bin/sendPDF.sh %s %U "%J" %p %m %S
Ho mappato i domain users, domain admin e domain guests con gruppi locali
> intranet:~# net groupmap list dominiocsa\domain admins
> (S-1-5-21-2943704632-3037471470-1787688681-512) -> domadm
> Administrators (S-1-5-32-544) -> BUILTIN\administrators
> dominiocsa\domain guests
> (S-1-5-21-2943704632-3037471470-1787688681-514) -> nogroup
> Users (S-1-5-32-545) -> BUILTIN\users
> dominiocsa\domain users
> (S-1-5-21-2943704632-3037471470-1787688681-513) -> domusers
e dato ai domain admins il permesso SePrintOperatorPrivilege
> intranet:~# net rpc rights list accounts -U admin
> Password:
> BUILTIN\Print Operators
> No privileges assigned
>
> BUILTIN\Account Operators
> No privileges assigned
>
> BUILTIN\Backup Operators
> No privileges assigned
>
> BUILTIN\Server Operators
> No privileges assigned
>
> BUILTIN\Administrators
> SeMachineAccountPrivilege
> SeTakeOwnershipPrivilege
> SeBackupPrivilege
> SeRestorePrivilege
> SeRemoteShutdownPrivilege
> SePrintOperatorPrivilege
> SeAddUsersPrivilege
> SeDiskOperatorPrivilege
>
> Everyone
> No privileges assigned
>
> DOMINIOCSA\Domain Admins
> SePrintOperatorPrivilege
Ed ecco le stranezze riscontrate:
- la già citata (vedi il thread printer admin) impossibilità di poter
installare da client tramite APW il driver sul server in modo da poter
poter facilmente installare la stampante da client windows senza bisogno
di selezionare un driver.
- Da client windows 2000 se l'utente è fra i power users locali l'utente
se installa la stampante condivisa mailPDF può utilizzarla, ma non può
vedere la coda di stampa e il client gli dice accesso negato. Se invece
non è fra i power users locali può tranquillamente stampare e vedere la
coda della stampante.
Ed ora le domande:
- A parte l'anomalia citata sopra dei membri del gruppo power users, per
poter stampare e vedere la coda di stampa l'utente deve avere il
privilegio SePrintOperatorPrivilege?
- È necessario mappare l'administrator locale all'utente root con
"pdbedit -U sid -u root -r"?
Grazie mille davvero a chiunque mi possa aiutare
Piviul
More information about the samba-it
mailing list