[Samba-it] Server RPC non disponibile

Mario Vittorio Guenzi jclark at tiscali.it
Fri Mar 1 14:56:52 UTC 2019


Il 01/03/19 15:46, Marco Gaiarin ha scritto:
> Mandi! Mario Vittorio Guenzi
>   In chel di` si favelave...
>
>> a seguire la prima volta che passi da Milano fammelo sapere che ti pago
>> una bevuta che non sta ne in cielo ne in terra.
> Grazie. ;-)

Mi pare il minimo visto che mi stai insegnado un mondo.


>
> Ci sono una serie di cose 'strane' da sapere.
me ne sto accorgendo
>
> Stile che non puoi assegnare un GID a 'Domain Admins' e un UID a
> 'Administrator', altrimenti alcune cose nei domain controller smettono
> di funzionare.
>
> Questo perchè nei domain controller lo share sysvol ha dei permessi
> ''pittoreschi'' in cui 'Administrator' viene usato come gruppo e/o 'Domain Admins'
> come utente.
> Se tu imposti quei UID/GID, nei domain controller sei fregato.
>
>
> MA se NON lo fai, sei fregato nei domain member... ma qui la soluzione
> è più semplice.
>
> a) per Administrator ti basta settare una mappa esplicita:
>
> 	https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member#Mapping_the_Domain_Administrator_Account_to_the_Local_root_User
fatto
>
> b) per 'Domain Admins' ti basta creare un diverso gruppo (io l'ho
>  chiamato 'unixadm'), dargli un GID e metterlo membro di 'Domain
> Admins'.
> A questo punto mi sono messo membro di questo gruppo, di modo da avere
> i permessi di amministrazione e un GID valido.
>
>
> Poi va anche detto che, in un domain member, se metti:
>
> 	vfs objects = acl_xattr
>
> lui automaticamente sintetizza ogni eventuale ACL non esprimibile come
> ACL POSIX nel suo formato astruso, e la salva come attributo esteso.

ecco e questo mi sa che risponde a una domanda che avevo in mente e vale
a dire si puo' avere i permessi in modo human readable o mi devo mapapre
da qualche parte che l'l'utente 30012 e' tizio il 30013 caio il gruppo
20012 i tecnici il 13 i venditori etc.


>
> Qundi ti basta assegnare (localmente, via user.map) l'UID 0 ad
> Administrator per avere i 'poteri di root' sul filesystem, mentre
> l'assegnazione del GID al gruppo 'Domain Admins' (sempre locale!) credo
> sia del tutto facoltativa.
>
>
> Si, è bello perchè è litigarello... ;-)

Il mondo avanza e progredisce, non sempre per il meglio e nel modo piu'
semplice, quindi nuota o affoga :)


-- 
 
Mario Vittorio Guenzi
E-mail jclark at tiscali.it
Si vis pacem, para bellum


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 195 bytes
Desc: OpenPGP digital signature
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20190301/3c34df19/signature.sig>


More information about the samba-it mailing list