[Samba-it] R: R: domain user

Piviul piviul at riminilug.it
Tue Dec 20 07:55:03 UTC 2022 

On 12/19/22 15:09, Corrado Ravinetto wrote:
>
> Ciao
>
> Non e’ cosi’ semplice, il gruppo Domain users e’ un gruppo di sistema, 
> non e’ un gruppo di utenti.
>
> A livello di dominio c’e’ un solo gruppo di Domain User e dovrebbe 
> essere uguale per tutti, non capisco perche’ da me ha preso un 
> identificativo diverso.
>
> Non conosco AD cosi’ a fondo e non so come modificare queste cose e se 
> tali modifiche possono creare danni (sicuramente!!)
>
Ciao Corrado, non so mi sembra che faccia le cose più complicate di quel 
che sono. L'impostazione dell'idmap è utile per avere un uid/gid 
numerico per gli utenti/gruppi del dominio che non vada a confliggere 
con lo uid/gid numerico degli utenti/gruppi unix. L'idmap è una 
mappatura che non fa altro che aggiungere al rid del domino (nel caso di 
domain users 512) al range che hai selezionato. Il numero ottenuto sarà 
lo uid/gid linux. Ora se tutti i tuoi membri linux hanno lo stesso 
mappaggio i files avranno uno stesso uid/gid che sarà uguale in tutti i 
membri e questo è utile per condividere i files fra membri ad. Ci sei? 
Mi sono spiegato? Se non mi sono spiegato bene dimmelo che ci riprovo.

Da quel che ho capito anzi che ho intuito, perché di notizie certe sulla 
tua configurazione non ne hai ancora date e non capisco perché, su un 
vecchio membro i tuoi uid/gid corrispondono ai rid del dominio. Questa 
non mi sembra una buona idea e la sconsigliano tutti, conviene che gli 
utenti locali e gli utenti del dominio abbiano range differenti 
probabilmente perché rischi che un utente/gruppo locale linux abbia lo 
stesso uid/gid di utente/gruppo del dominio e questo potrebbe generare 
dei problemi di sicurezza.

Ora quindi abbandona l'idea di avere sul nuovo membro gli uid/gid 
corrispondenti ai RID del dominio (quindi di avere il gid 512 per domain 
users) ma piuttosto scegli quale sia il range giusto e usa chown/chgrp 
per cambiare sul nuovo server gli owner/groups dei files.

Se invece non ho capito nulla cerca di dirci qualcosa in più sulla tua 
installazione e sui problemi che riscontri.

Un'ultima cosa: ocho che se cambi range/backend di idmap la cache non 
sarà più coerente con il nuovo mappaggio, devi fare un net cache flush 
per fare in modi che venga ricreata e quindi sia coerente con il nuovo 
range.

Ciao

Piviul
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20221220/66162298/attachment-0001.htm>

More information about the samba-it mailing list