Sziasztok,
Éppen tegnap nézegettem a samba csoport map-pelési képességeit és nekem sem müködik a dolog.
[code:1:50612121f0]
net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Users (S-1-5-21-3320532835-3229225763-1817698268-513) -> users
Domain Users (S-1-5-21-3362268884-3164759974-1847812642-513) -> users
Power Users (S-1-5-32-547) -> -1
Domain Users (S-1-5-21-3320532835-3229225763-1817698268-1201) -> users
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Guests (S-1-5-21-3320532835-3229225763-1817698268-514) -> -1
Domain Admins (S-1-5-21-3320532835-3229225763-1817698268-512) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Admins (S-1-5-21-3362268884-3164759974-1847812642-512) -> -1
Domain Guests (S-1-5-21-3362268884-3164759974-1847812642-514) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> users
[/code:1:50612121f0]
Ennek ellenére a smbstatus kimenetén látszik hogy továbbra is domain users-ként azonosítja a Winbind a felhasználót:
[code:1:50612121f0]linux:~# smbstatus -v
using configfile = /etc/samba/smb.conf
Samba version 3.0.14a-Debian
PID Username Group Machine
-------------------------------------------------------------------
1968 edina domain users andreas (192.168.1.1)
Opened /var/run/samba/connections.tdb
[/code:1:50612121f0]
secrets.tdb, sőt a /var/lib/samba/*.tdb törlés is megvolt, semmi eredmény. Hogy lehetne életre lehelni a map-pelést?
Miért van ugyanazokkal az azonosítókkal többször pl. a Domain Admins?
Majd tettem a következőt:
groupadd win_admins
useradd -m -s /bin/false -c "Windows rendszergazda" -G win_admins rendszergazda
passwd rendszergazda
smbpasswd -a rendszergazda
majd
net groupmap modify ntgroup="Domain Admins" unixgroup=win_admins
majd az smb.conf -ban:
admin users = @win_admins
Ezek után ha a Win XP SP2 (magyar)-n bejelentkezek a tartományba a rendszergazda felhasználóval, ami elvileg a win_admins csoportban tartozik a woodyn és a samba configban ez a csoport van megjelölve admin users -nek. Ennek ellenére közli velem a Win, hogy ha programot akarok telepíteni, akkor azt csak rendszergazdai jogosultságokkal tudom megtenni. Miért is nem kap a felhasználó rendszergazdai jogokat?
Még annyit találtam, hogy szinte minden példa leírásban a
net groupmap modify ntgroup="Domain Admins" unixgroup=root
szerepelt. Akkor a rendszergazda usert így kellene felvenni:
useradd -s /bin/false -g root rendszergzda
és a fent említett net groupmap ..... parancsot alkalmazni? Sajna most nem tudom kipróbálni, mert nem vagyok a gépeknél, csak holnap nem ezzel akarom elcseszni az időmet :)
Előre is köszönöm!
lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
[quote:6b85e75886="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
[quote:48b76c1f9d="lacika"][quote:48b76c1f9d="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
Laci
Ahhoz eloszor hozza kell csapni a munkaallomast a Domainhoz.
en ilyen tobbszoros SIDnel ki szoktam torolni a secret.tdb-t a samba konyvtarban, majd ugyis ujat hoz letre. Persze ha a domain mar regota el, akkor ezt nem lehet megcsinalni.
[quote:5549413546="mocsi"][quote:5549413546="lacika"][quote:5549413546="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
Laci
Ahhoz eloszor hozza kell csapni a munkaallomast a Domainhoz.
en ilyen tobbszoros SIDnel ki szoktam torolni a secret.tdb-t a samba konyvtarban, majd ugyis ujat hoz letre. Persze ha a domain mar regota el, akkor ezt nem lehet megcsinalni.
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
[quote:24e5f0a9b5="lacika"]
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
Laci
NEkem a root-jaim csak egy sima Windows felhasznalok, vagyis megcsak nem is Windows user-ek.
A Domain Admin userneve egy csunya karomkodas :oops: , de o a unixon csak egy kopasz user.
[quote:3265d7a3e2="mocsi"][quote:3265d7a3e2="lacika"]
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
Laci
NEkem a root-jaim csak egy sima Windows felhasznalok, vagyis megcsak nem is Windows user-ek.
A Domain Admin userneve egy csunya karomkodas :oops: , de o a unixon csak egy kopasz user.
Akkor valamit elcses*hettem vagy elnézhettem, de holnap meglátjuk mi lesz a helyzet. Köszönöm a hozzászólásokat és segítségeket!
Azért holnap este majd még beszámolok a történtekről!
Jó éjt mindenkinek :)
Hozzászólások
Sziasztok,
Éppen tegnap nézegettem a samba csoport map-pelési képességeit és nekem sem müködik a dolog.
[code:1:50612121f0]
net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Users (S-1-5-21-3320532835-3229225763-1817698268-513) -> users
Domain Users (S-1-5-21-3362268884-3164759974-1847812642-513) -> users
Power Users (S-1-5-32-547) -> -1
Domain Users (S-1-5-21-3320532835-3229225763-1817698268-1201) -> users
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Guests (S-1-5-21-3320532835-3229225763-1817698268-514) -> -1
Domain Admins (S-1-5-21-3320532835-3229225763-1817698268-512) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Admins (S-1-5-21-3362268884-3164759974-1847812642-512) -> -1
Domain Guests (S-1-5-21-3362268884-3164759974-1847812642-514) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> users
[/code:1:50612121f0]
Ennek ellenére a smbstatus kimenetén látszik hogy továbbra is domain users-ként azonosítja a Winbind a felhasználót:
[code:1:50612121f0]linux:~# smbstatus -v
using configfile = /etc/samba/smb.conf
Samba version 3.0.14a-Debian
PID Username Group Machine
-------------------------------------------------------------------
1968 edina domain users andreas (192.168.1.1)
Opened /var/run/samba/connections.tdb
[/code:1:50612121f0]
secrets.tdb, sőt a /var/lib/samba/*.tdb törlés is megvolt, semmi eredmény. Hogy lehetne életre lehelni a map-pelést?
Üdvözletem,
Van egy Woodym és egy 3.0.14a Samba.
A kezdetek kezdetén (telepítés után)a net groupmap list a következőt adta vissza:
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-2188796814-1757394477-1550545631-512) -> -1
Domain Guests (S-1-5-21-2188796814-1757394477-1550545631-514) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Domain Admins (S-1-5-21-148322475-1803532757-3647261839-512) -> -1
Domain Guests (S-1-5-21-148322475-1803532757-3647261839-514) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Users (S-1-5-21-148322475-1803532757-3647261839-513) -> -1
Domain Users (S-1-5-21-2188796814-1757394477-1550545631-513) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Miért van ugyanazokkal az azonosítókkal többször pl. a Domain Admins?
Majd tettem a következőt:
groupadd win_admins
useradd -m -s /bin/false -c "Windows rendszergazda" -G win_admins rendszergazda
passwd rendszergazda
smbpasswd -a rendszergazda
majd
net groupmap modify ntgroup="Domain Admins" unixgroup=win_admins
majd az smb.conf -ban:
admin users = @win_admins
Ezek után ha a Win XP SP2 (magyar)-n bejelentkezek a tartományba a rendszergazda felhasználóval, ami elvileg a win_admins csoportban tartozik a woodyn és a samba configban ez a csoport van megjelölve admin users -nek. Ennek ellenére közli velem a Win, hogy ha programot akarok telepíteni, akkor azt csak rendszergazdai jogosultságokkal tudom megtenni. Miért is nem kap a felhasználó rendszergazdai jogokat?
Laci
Még annyit találtam, hogy szinte minden példa leírásban a
net groupmap modify ntgroup="Domain Admins" unixgroup=root
szerepelt. Akkor a rendszergazda usert így kellene felvenni:
useradd -s /bin/false -g root rendszergzda
és a fent említett net groupmap ..... parancsot alkalmazni? Sajna most nem tudom kipróbálni, mert nem vagyok a gépeknél, csak holnap nem ezzel akarom elcseszni az időmet :)
Előre is köszönöm!
laci
lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
[quote:6b85e75886="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
Laci
[quote:48b76c1f9d="lacika"][quote:48b76c1f9d="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
Laci
Ahhoz eloszor hozza kell csapni a munkaallomast a Domainhoz.
en ilyen tobbszoros SIDnel ki szoktam torolni a secret.tdb-t a samba konyvtarban, majd ugyis ujat hoz letre. Persze ha a domain mar regota el, akkor ezt nem lehet megcsinalni.
[quote:5549413546="mocsi"][quote:5549413546="lacika"][quote:5549413546="x-daemon"]lehet hogy nekem romlik már a szemem, de a Domain Admins más-más azonosítókkal szerepel :) az S-1-5-32-... az a lokális az S-1-5-21-a-b-c-... az tartományi SID, gondolom 2 tartományból veszi a különböző Domain Admins SID-eket, azért van több belőle.
Nem romlik a szemed :) Ezt én is észrevettem. Csak miért is? Most telepítettem fel az otthoni gépemre a samba csomagot (sarge) és a közvetlen install után nagyon hasonló eredményt adott a net groupmap list.
De szerintem nem is ez a fő probléma, hanem az hogy a felhasználó miért nem kap rendszergazdai jogokat a wines gépen ha a megfelelő unix csoportba teszem?
Laci
Ahhoz eloszor hozza kell csapni a munkaallomast a Domainhoz.
en ilyen tobbszoros SIDnel ki szoktam torolni a secret.tdb-t a samba konyvtarban, majd ugyis ujat hoz letre. Persze ha a domain mar regota el, akkor ezt nem lehet megcsinalni.
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
Laci
[quote:24e5f0a9b5="lacika"]
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
Laci
NEkem a root-jaim csak egy sima Windows felhasznalok, vagyis megcsak nem is Windows user-ek.
A Domain Admin userneve egy csunya karomkodas :oops: , de o a unixon csak egy kopasz user.
[quote:3265d7a3e2="mocsi"][quote:3265d7a3e2="lacika"]
A munkaállomás a tartományba léptetéskor bekerült az smbpasswdbe rendesen, csak a szerencsétlen felhasználó nem kap rendszergazda jogot. De nagyon úgy fest, hogy azt kell tenni, hogy a rendszergazda felhasználót berakom a root csoportba, majd a net groupmap modify ntgroup="Domain Admins" unixgroup=root következik, és az smb.conf -ba még:
username map = /etc/samba/smbusers
az smbusers fájlba pedig:
root = Administrator rendszergazda
. Holnap majd kiderül :).
Laci
NEkem a root-jaim csak egy sima Windows felhasznalok, vagyis megcsak nem is Windows user-ek.
A Domain Admin userneve egy csunya karomkodas :oops: , de o a unixon csak egy kopasz user.
Akkor valamit elcses*hettem vagy elnézhettem, de holnap meglátjuk mi lesz a helyzet. Köszönöm a hozzászólásokat és segítségeket!
Azért holnap este majd még beszámolok a történtekről!
Jó éjt mindenkinek :)
Laci
próbáld ki a "net rpc rights" parancsot is, ez kicsit más megközelítésban adja a jogot a SID-ekhez