Samba RID & Group Mapping
- Login o registrati per inviare commenti
Mer, 03/10/2010 - 22:55
Ciao ragazzi, chiedo a voi una piccola consulenza perchè mi sto scervellando e non ne esco.
Ho installato un dominio di prova su samba 3, e fin qui tutto OK a livello di profili, unità di rete e home drive.
Il problema sorge nel mappare alcuni utenti con privilegi particolari, in particolar modo io dovrei mappa re alcuni utenti che dovrebbero essere utenti amministratori della macchina in locale e nonostante abbia tentato di seguire il man di samba non sono riuscito a cavare fuori chissachè.
Io mi sono creato un unixgroup=prova, e l'ho mappato con rid 544 che è il rid di BUILTIN\Administrator ma tuttavia gli utenti che aggiungo a tale gruppo non risultano mai amministratori ma utenti limitati.
Qualche idea???? Io finora non ha cavato fuori niente.
Ciao
Sab, 03/13/2010 - 20:33
#2
Ciao Paolo, ho provato a googlare e a guardarmi gli how-to della community di samba. Nessun risultato.
Quello che volevo capire è come fare il mapping dei rid degli utenti di dominio con gli utenti locali linux su samba. Io mappando il gruppo Domain Admins con il gruppo root con rid=512, e mappando sempre il gruppo Domain admins con rid=1001 (rid root) chi appartiene a quel gruppo diventa finalmente amministratore di dominio.
La mia domanda è, come mai mappandoli con rid=512 e rid 1001 funziona, e se provo a mapparli con rid=544 (builtin administrators) gli utenti perdono i diritti amministrativi?? Qual'è la logica che ci sta sotto per capire come rendere così un'utente amministratore locale ma non di dominio???
E' una settimana che ci perdo la testa e non ne esco....
ciao
Dom, 03/14/2010 - 01:44
#3
sai che non mi è chiaro cosa vuoi fare....se vuoi un local admin lo puoi fare direttamente sul client....inoltre io ti consiglio samba 4....premesse spettacolari.
Saluti
Paolo
Dom, 03/14/2010 - 17:23
#4
ciao Paolo, quello che voglio fare è riproporre l'opzione "Gruppi con restrizioni" di AD. In una specifica UO alcuni devono diventare amministratori locali; questo per problemi con dei software proprietari gestionali.
Per gestire le policies di samba da client Windows tu hai usato l'adminpack NT oppure qualche altro tool???
Dom, 03/14/2010 - 18:00
#5
sto usando adesso l'adminpack ma solo con samba 4. Ci ho fatto solo dei test....non ho esigenze particolari, mi ricordo che io il problema dei software sul client lo risolvevo settando gli utenti localmente come power users....
Saluti
Paolo
Lun, 03/15/2010 - 14:06
#6
Ma ora della fine penso che un singolo dominio, gestito con Samba possa già essere una cosa gradevole. Sto facendo tutti quanti i test prima di metterlo in produzione per prendere bene la mano con la gestione.
Ho rinunciato alla backend LDAP perchè ci vuole un pò più di tempo, e perchè comunque singolarmente con samba per qualche decina di utenti funziona tutto a meraviglia e senza grossi rallentamenti e/o problemi.
Per il discorso dei permessi "speciali" per alcuni utenti penso di optare per la modifica a mano come hai detto tu Paolo, intanto si trattano di poche macchine che devono avere questa eccezione ;)
Intanto grazie e appena ho news cercherò di metter giù un how-to semmai da regalare alla community di SI
Ciauz
Lun, 03/15/2010 - 14:11
#7
a breve metto un howto su samba4. Io ho sempre usato samba cone backend tradizionale e Swat per la gestione anche su reti con decine di utenti. Mai avuto problemi rilevanti....ho sempre trovato LDAP scomodo e poco intuitivo....bello ma scomodo, ora con Samba4 è tutto più trasparente ma va provato e bisogna aspettare una release finale.
Saluti
Paolo
Lun, 03/15/2010 - 16:20
#8
Io penso che attenderò l'upgrade di samba4 direttamente sui pacchetti debian, o perlomeno che esca una release ufficiale pacchettizata che almeno mi da qualche garanzia in più di "supporto" per aggiornamenti e stabilità.
Solitamente samba è retro-compatibile con le versioni precedenti giusto??? Se non ricordo male....
Intanto mi accontento già di samba 3, che per quello che ho visto mi consente di gestire un dominio di medio-piccole dimensioni senza troppi intoppi rinunciando così alla licenza di Windows Server lol
- Login o registrati per inviare commenti
io in genere risolvevo mettendo come power user o administrator localmente l'utente...cmq questo è un buon punto di partenza dove chiedere aiuto.
http://samba.xsec.it/
Saluti
Paolo
------
Admin
sistemistiindipendenti.org