[Samba-it] R: R: R: domain user

Corrado Ravinetto corrado.ravinetto at lanificiocerruti.com
Wed Dec 21 16:43:11 UTC 2022 

Non riuscivo ad accedere, poi ho trovato un post di uno che aveva un problema simile al mio e gli consigliavano di aggiungere
               min domain uid = 0

al smb.conf del member e ora funziona, vedo le share e posso accedere



Da: Corrado Ravinetto
Inviato: mercoledì 21 dicembre 2022 17:32
A: General Samba list for Italian speaking people <samba-it at lists.samba.org>
Oggetto: R: [Samba-it] R: R: domain user

Ciao
Scusa se rispondo solo ora.
Le cose che mi stai dicendo sono tutte vere: e’ sbagliato utilizzare uid/gid misti.
Pero’, questa e’ la configurazione ereditata da un vecchio samba 3 migrato in samba 4 e , come mi ha scritto anche Rowland, non c’e’ la possibilità di cambiare il PrimaryGroup sugli utenti e quindi l’unica soluzione e’ mantenere il primarygroup e utilizzare il rid 503 per i Domains Users.
Detto questo ho ancora alcuni problemi perche’ i dc replicano anche se hanno versioni diverse (4.9 e 4.17), il vecchio dm continua a funzionare, il nuovo dm non mi lasci accedere per  NT_STATUS_INVALID_TOKEN con smbclient -L

Da: samba-it <samba-it-bounces at lists.samba.org<mailto:samba-it-bounces at lists.samba.org>> Per conto di Piviul
Inviato: martedì 20 dicembre 2022 08:55
A: samba-it at lists.samba.org<mailto:samba-it at lists.samba.org>
Oggetto: Re: [Samba-it] R: R: domain user

On 12/19/22 15:09, Corrado Ravinetto wrote:
Ciao
Non e’ cosi’ semplice, il gruppo Domain users e’ un gruppo di sistema, non e’ un gruppo di utenti.
A livello di dominio c’e’ un solo gruppo di Domain User e dovrebbe essere uguale per tutti, non capisco perche’ da me ha preso un identificativo diverso.
Non conosco AD cosi’ a fondo e non so come modificare queste cose e se tali modifiche possono creare danni (sicuramente!!)

Ciao Corrado, non so mi sembra che faccia le cose più complicate di quel che sono. L'impostazione dell'idmap è utile per avere un uid/gid numerico per gli utenti/gruppi del dominio che non vada a confliggere con lo uid/gid numerico degli utenti/gruppi unix. L'idmap è una mappatura che non fa altro che aggiungere al rid del domino (nel caso di domain users 512) al range che hai selezionato. Il numero ottenuto sarà lo uid/gid linux. Ora se tutti i tuoi membri linux hanno lo stesso mappaggio i files avranno uno stesso uid/gid che sarà uguale in tutti i membri e questo è utile per condividere i files fra membri ad. Ci sei? Mi sono spiegato? Se non mi sono spiegato bene dimmelo che ci riprovo.

Da quel che ho capito anzi che ho intuito, perché di notizie certe sulla tua configurazione non ne hai ancora date e non capisco perché, su un vecchio membro i tuoi uid/gid corrispondono ai rid del dominio. Questa non mi sembra una buona idea e la sconsigliano tutti, conviene che gli utenti locali e gli utenti del dominio abbiano range differenti probabilmente perché rischi che un utente/gruppo locale linux abbia lo stesso uid/gid di utente/gruppo del dominio e questo potrebbe generare dei problemi di sicurezza.

Ora quindi abbandona l'idea di avere sul nuovo membro gli uid/gid corrispondenti ai RID del dominio (quindi di avere il gid 512 per domain users) ma piuttosto scegli quale sia il range giusto e usa chown/chgrp per cambiare sul nuovo server gli owner/groups dei files.

Se invece non ho capito nulla cerca di dirci qualcosa in più sulla tua installazione e sui problemi che riscontri.

Un'ultima cosa: ocho che se cambi range/backend di idmap la cache non sarà più coerente con il nuovo mappaggio, devi fare un net cache flush per fare in modi che venga ricreata e quindi sia coerente con il nuovo range.

Ciao

Piviul

[Lanificio F.lli CERRUTI]


Corrado Ravinetto
Sistemi informativi
corrado.ravinetto at lanificiocerruti.com <mailto:corrado.ravinetto at lanificiocerruti.com>
T: +39 015 3591283
[Lanificio F.lli CERRUTI]
Lanificio F.lli Cerruti S.p.A.
Via Cernaia 40, 13900 - Biella (BI) Italy
www.lanificiocerruti.com <http://www.lanificiocerruti.com/>

[Twitter] <https://twitter.com/Lan_Cerruti> [Facebook]  <https://www.facebook.com/LanificioCerruti> [Instagram]  <https://www.instagram.com/lanificiocerruti/>

Rispetta l'ambiente, non stampare questa mail se non necessario
Respect the environment, don't print unless necessary

[Unesco]
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20221221/276e3431/attachment-0001.htm>

More information about the samba-it mailing list