[Samba-it] Server RPC non disponibile

Marco Gaiarin gaio at sv.lnf.it
Fri Mar 1 14:46:14 UTC 2019 

Mandi! Mario Vittorio Guenzi
  In chel di` si favelave...

> a seguire la prima volta che passi da Milano fammelo sapere che ti pago
> una bevuta che non sta ne in cielo ne in terra.

Grazie. ;-)


> L'idea di fare una macchina solo share disgiunta da AD mi e' venuta
> leggendo e rileggendo che e' una pessima idea far fare a AD-DC anche da
> file server ma se le cose stanno cosi' davvero o trovo una gabola per
> cui faccio si che solo admin/root abbia diritti completi o mollo tutto e

Ci sono una serie di cose 'strane' da sapere.

Stile che non puoi assegnare un GID a 'Domain Admins' e un UID a
'Administrator', altrimenti alcune cose nei domain controller smettono
di funzionare.

Questo perchè nei domain controller lo share sysvol ha dei permessi
''pittoreschi'' in cui 'Administrator' viene usato come gruppo e/o 'Domain Admins'
come utente.
Se tu imposti quei UID/GID, nei domain controller sei fregato.


MA se NON lo fai, sei fregato nei domain member... ma qui la soluzione
è più semplice.

a) per Administrator ti basta settare una mappa esplicita:

	https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member#Mapping_the_Domain_Administrator_Account_to_the_Local_root_User

b) per 'Domain Admins' ti basta creare un diverso gruppo (io l'ho
 chiamato 'unixadm'), dargli un GID e metterlo membro di 'Domain
Admins'.
A questo punto mi sono messo membro di questo gruppo, di modo da avere
i permessi di amministrazione e un GID valido.


Poi va anche detto che, in un domain member, se metti:

	vfs objects = acl_xattr

lui automaticamente sintetizza ogni eventuale ACL non esprimibile come
ACL POSIX nel suo formato astruso, e la salva come attributo esteso.

Qundi ti basta assegnare (localmente, via user.map) l'UID 0 ad
Administrator per avere i 'poteri di root' sul filesystem, mentre
l'assegnazione del GID al gruppo 'Domain Admins' (sempre locale!) credo
sia del tutto facoltativa.


Si, è bello perchè è litigarello... ;-)

-- 
dott. Marco Gaiarin				        GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''          http://www.lanostrafamiglia.it/
  Polo FVG   -   Via della Bontà, 7 - 33078   -   San Vito al Tagliamento (PN)
  marco.gaiarin(at)lanostrafamiglia.it   t +39-0434-842711   f +39-0434-842797

		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
      http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)

More information about the samba-it mailing list