Van egy deprecated 'enable privileges' smb.conf opció, ami arra való hogy a samba alkalmazza az NT-stílusú Se*Privilege privilégiumokat.
Ez nálam mintha nem a rendjén mũködne:
net rpc rights list accounts ad listát sok privilégiumról, mind a "BUILTIN\Administrators" csoporthoz tartozik. "BUILTIN\Print Operators", "BUILTIN\Account Operators" csoportoknak nincs privilégiuma.
net rpc rights grant paranccsal tudtam az üres csoportokhoz is rendelni jogokat.
Így pl. a "Print Operators"-hoz a SePrintOperatorPrivilege-t.
Posix-NT csoportösszerendelés:
Domain Admins (S-1-5-21-2896095634-3712988189-3974422820-512) -> smbadmin
Print Operators (S-1-5-21-2896095634-3712988189-3974422820-550) -> lpadmin
Administrators (S-1-5-21-2896095634-3712988189-3974422820-544) -> adm
A szintén deprecated 'printer admin' opció kivaltására a korábban 'printer admin'-nal megadott usert (aladar) hozzáadtam az lpadmin posix csoporthoz.
Logikusan az feltételezem, hogy ennyibõl a samba aladárnak adni fog nyomtató adminisztrátori jogot, viszont a tapasztalat mást mutat.
Míg explicit megadva 'printer admin = aladar' opciót aladar megkapja a szükséges jogokat, ezen opció nélkül, csupán az @lpadmin tagságával nem tudja felügyelni a nyomtatót.
net rpc rights list aladar parancs pedig nem ír semmit, 255-tel tér vissza. (net rpc rights list "Print Operators" rendesen visszaadja amit kell)
Rendben, lehet h a rights list csak az explicit a userre adott jogokat listázza (bár a hibakód akkor is nyugtalanít), de akkor se látszik érvényesülni a csoporttagság.
Kérdésem, hogyan gyõzõdhetek meg a samba userek effektív csoporttagságáról, birtokolt pivilégiumaikról, ill. hogyan vehetem rá, hogy alkalmazza a groupmap-ot?
releváns smb.conf részek:
name resolve order = host wins lmhosts bcast
security = user
passdb backend = tdbsam
username map = /etc/samba/smbusers
map to guest = Bad User
guest account = nobody
domain master = yes
local master = yes
preferred master = yes
domain logons = yes
load printers = yes
printing = cups
printcap name = cups
use client driver = no
smbd -V
Version 3.6.6
PS. lehetne külön Samba alfórum, annyi topic van ebben a témában.
- 4913 megtekintés
Hozzászólások
up
~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1
- A hozzászóláshoz be kell jelentkezni
Ellenőrzés:
net rpc rights list accounts -U root%not24get
Nyomtatókezelés:
A userre is lefutattod a parancsot net rpc rights grant aladar SePrintOperatorPrivilege és máris tudja kezelni a nyomtatót
- A hozzászóláshoz be kell jelentkezni
"net rpc rights list accounts" ad listát az NT csoportokhoz rendelt jogokról, mint eddig is, ez rendben.
nem akarom az egyes samba userekre egyenként ráadni a jogot, hiszen azért vannak a csoportok, azért lehet az NT csoportokra beállítani az Se* privilégiumokat.
a groupmap pedig tudtommal azért van, hogy a szamba NT csoportjait megfeleltesse a meglévõ posix csoportokkal.
javítsatok ki, de ez nem azért van, h egy user a csoporttagsága révén kapjon jogokat?
itt pl. a "Print Operators" NT csoport joga a SePrintOperatorPrivilege -> a "Print Operators" megfelel az lpadmin unix csoportnak -> aladar unix user tagja az lpadmin unix csoportnak, aladar samba user mappol aladar unix userre.
Miért nincs mégse aladárnak SePrintOperatorPrivilege?
~~~~~~~~
Linux 3.2.0-4-486
Debian 7.1
- A hozzászóláshoz be kell jelentkezni