[Samba] Problem with "net groupmap"

Ricardo Chamorro ricardo.a.chamorro at gmail.com
Sat Apr 22 04:19:18 GMT 2006 

In samba 3, PDC, security=user, backend smbpasswd, that runs in a Sarge Kernel 2,6 for a LAN of W9x clients, I have created the users and groups UNIX and Samba.  Soon I added to tdb of the NT domain the UNIX groups with "net groupmap add ntgroup="Group XXX" unixgroup=operators", etc. etc.

  Later I have modified the english names of NT domain groups and I have turned them to the Spanish with this script:

--------------------------------
#! /bin/sh 

SIDSAMBA=1681050191-58231990-298XXXXXX

net groupmap modify ntgroup="Administradores" \
sid="S-1-5-32-544" unixgroup=administradores \
comment="Los administradores tienen acceso completo y sin restricciones al equipo o dominio"

net groupmap modify ntgroup="Admins. del dominio" \
sid="S-1-5-21-$SIDSAMBA-512" unixgroup=admins_dominio \
comment="Administradores designados del dominio"

net groupmap modify ntgroup="Duplicadores" \ sid="S-1-5-32-552" unixgroup=duplicadores \ 
comment="Pueden duplicar archivos en un dominio"

net groupmap modify ntgroup="Invitados del dominio" \ sid="S-1-5-21-$SIDSAMBA-514" unixgroup=invitados_dominio \
comment="Todos los invitados del dominio"

net groupmap modify ntgroup="Invitados" \ sid="S-1-5-32-546" unixgroup=invitados \ 
comment="Los invitados tienen de modopredeterminado el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene mas restricciones"

net groupmap modify ntgroup="Operadores de copias" \ 
sid="S-1-5-32-551" unixgroup=opers_copias \ 
comment="Los operadores de copia pueden sobrescribir restricciones de seguridad con el unico proposito de hacer copias de seguridad o restaurar archivos"

net groupmap modify ntgroup="Opers. de cuentas" \ sid="S-1-5-32-548" unixgroup=opers_cuentas \
comment="Pueden administrar cuentas de usuarios y grupos del dominio"

net groupmap modify ntgroup="Opers. de impresión" \ sid="S-1-5-32-550" unixgroup=opers_impresion \ 
comment="Pueden operar impresoras del dominio" 

net groupmap modify ntgroup="Opers. de servidores" \ sid="S-1-5-32-549" unixgroup=opers_sistema \ 
comment="Pueden administrar sistemas del dominio"

net groupmap modify ntgroup="Usuarios avanzados" \ sid="S-1-5-32-547" unixgroup=usrs_avanzados \ comment="Los usuarios avanzados tienen mas derechos administrativos con algunas restricciones. De este modo, pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas"

net groupmap modify ntgroup="Usuarios del dominio" \ sid="S-1-5-21-$SIDSAMBA-513" unixgroup=usuarios_dominio \ 
comment="Todos los usuarios del dominio" 

net groupmap modify ntgroup="Usuarios" \ sid="S-1-5-32-545" unixgroup=usuarios \ 
comment="Los usuarios no pueden hacer cambios accidentales o intencionados en el sistema. Pueden ejecutar aplic. certificadas, pero no la mayoría de las heredadas"

exit 0
------------------------

But.... when from a W9x client I open the window "Share.." to add users,  only the groups "Admins del Dominio" (Domain Admins) and "Invitados" (Guests) sees itself, and too all the names of users.  
But if I give access to any directory to some of those two groups ("Admins del Dominio" and "Invitados") the users that are within those groups cannot accede to the directories.  However, if I give access one by one to the users, therefore they yes have access to the directories.  

I paste the smb.conf:
---------------------------------
 workgroup = ANYBODY

   server string = %h server (Samba %v)

   hosts allow = 192.168.0. 127.
   interfaces = 192.168.0.0/255.255.255.0
   bind interfaces only = yes
   
  security = user
   encrypt passwords = true
   
   socket options = TCP_NODELAY

   local master = yes
   os level = 65
   
   domain master = yes
   preferred master = yes
   domain logons = yes
   logon script = %U.bat
   logon path = \\%L\perfiles\%U
   logon home = \\Linux\%U\perfiles

add user script = /usr/sbin/useradd %u
add machine script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -M %u
delete user script = /usr/sbin/userdel %u
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/bin/gpasswd -a %u %g
set primary group script = /usr/sbin/usermod -g %g %u 
   wins support = yes
   
   dns proxy = no
   name resolve order = lmhosts host wins bcast

   unix password sync = true

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
   *Retype\snew\sUNIX\spassword:* %n\n .
   
   obey pam restrictions = yes
--------------------------------------------------End Paste    

Thanks 
Ricardo
Buenos Aires

More information about the samba mailing list