про ограничение прав юзеров в домене на самбе

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:19:39

в общем суть такова, у меня есть самба3 + лдап. опенлдап работает. тока хочу сделать чтобы у меня были группы а-ля DomainAdmins, Domain Users, Domain Compuetrs, как у Лиса на системных учетках

)

вот что имеем в опенлдапе:

Код: Выделить всё

[f0s@mail] /home/f0s/> ldapsearch -LLL -x -b 'dc=artpaint,dc=spb,dc=ru' '*'
dn: dc=artpaint,dc=spb,dc=ru
objectClass: dcObject
objectClass: organization
objectClass: top
dc: artpaint
o: artpaint

dn: ou=users,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: groups

dn: ou=computers,dc=artpaint,dc=spb,dc=ru
objectClass: top
objectClass: organizationalUnit
ou: computers

dn: cn=admins,ou=groups,dc=artpaint,dc=spb,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: admins
gidNumber: 10001
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-512
sambaGroupType: 2
displayName: admins
description: Domain Unix group

dn: cn=people,ou=groups,dc=artpaint,dc=spb,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: people
gidNumber: 10002
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-513
sambaGroupType: 2
displayName: people
description: Domain Unix group

dn: cn=computers,ou=groups,dc=artpaint,dc=spb,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: computers
gidNumber: 10003
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-515
sambaGroupType: 2
displayName: computers
description: Domain Unix group

dn: uid=admin,ou=users,dc=artpaint,dc=spb,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: admin
uid: admin
uidNumber: 10003
gidNumber: 10001
homeDirectory: /home/admin
loginShell: /usr/sbin/nologin
gecos: admin
description: User account
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-21006
displayName: admin
sambaLMPassword: 5EB71CB31F58ECBDC187B8085FE1D9DF
sambaNTPassword: 410D40184427AD3FDA702F68C2CDC99F
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1181820659
sambaAcctFlags: [U          ]

dn: sambaDomainName=ARTPAINT,dc=artpaint,dc=spb,dc=ru
sambaDomainName: ARTPAINT
sambaSID: S-1-5-21-1143629007-3883614378-2078852349
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 1000
sambaMinPwdLength: 5
sambaPwdHistoryLength: 0
sambaLogonToChgPwd: 0
sambaMaxPwdAge: -1
sambaMinPwdAge: 0
sambaLockoutDuration: 30
sambaLockoutObservationWindow: 30
sambaLockoutThreshold: 0
sambaForceLogoff: -1
sambaRefuseMachinePwdChange: 0
sambaNextRid: 1002

dn: uid=f0s,ou=users,dc=artpaint,dc=spb,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: f0s
uid: f0s
uidNumber: 10004
gidNumber: 10001
homeDirectory: /home/f0s
loginShell: /usr/sbin/nologin
gecos: f0s
description: User account
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-3002
displayName: dmitry a. frolov
sambaLMPassword: 77FE0205A84F171DDC0ADAAC127D3673
sambaNTPassword: 499A86C5EF9BCA79112269FC6DC2E81A
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaAcctFlags: [U          ]
sambaPwdLastSet: 1181821724

dn: uid=vinogradov,ou=users,dc=artpaint,dc=spb,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: vinogradov
uid: vinogradov
uidNumber: 10005
gidNumber: 10001
homeDirectory: /home/vinogradov
loginShell: /usr/sbin/nologin
gecos: vinogradov
description: User account
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-21010
displayName: viktor vinogradov
sambaLMPassword: 57FF2C70E4E8D569AAD3B435B51404EE
sambaNTPassword: 704A5DE652D6B7E8B971E6B4EF00219B
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1181821711
sambaAcctFlags: [U          ]

dn: uid=mail$,ou=computers,dc=artpaint,dc=spb,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: mail$
uid: mail$
uidNumber: 20001
gidNumber: 10003
homeDirectory: /dev/null
loginShell: /bin/false
gecos: mail$
description: Machine account
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-1001
displayName: mail$
sambaAcctFlags: [S          ]
sambaLMPassword: 7C26E2BC3922B7979B8A60D2240B41DD
sambaNTPassword: B9E2682AA2C85A920C47F717EB8959F8
sambaPwdLastSet: 1181896846

dn: uid=winxp$,ou=computers,dc=artpaint,dc=spb,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: winxp$
uid: winxp$
uidNumber: 20002
gidNumber: 10003
homeDirectory: /dev/null
loginShell: /bin/false
gecos: winxp$
description: Machine account
sambaSID: S-1-5-21-1143629007-3883614378-2078852349-1002
displayName: winxp$
sambaAcctFlags: [W          ]
sambaNTPassword: 818B166AF77D25FC18CF29CAD0217497
sambaPwdLastSet: 1181898263

[f0s@mail] /home/f0s/>

т.е. мои группы admins, people, computers просто как Domain Unix Group. добавлял их так:

Код: Выделить всё

# net groupmap add unixgroup=admins rid=512 type=domain
Successfully added group admins to the mapping db as a domain group

посомтрев статью Лиса, решил сделать связь с Domain Admins группы admins, свзяать Domain USers с people, ну и Domain Computers с computers. Пробовал так:

Код: Выделить всё

[f0s@mail] /home/f0s/> net groupmap modify ntgroup="Domain Admins" unixgroup=admins type=domain
NT Group Domain Admins doesn't exist in mapping DB

в итоге вопрос, как сделать маппинг этой группы??

зы. и почему-то winbinnd не стартует

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Za... · Непрочитанное сообщение **Za...** » 2007-06-21 11:41:14

Про старт winbindd была проблема, косяк оказался в правах на папку ./winbindd она у меня находитсо в tmp, для чего то я поставил на неё 0777 а надо было 0755, узнал это простым удаление этой папки, и при старте он запустился.

И как говорит много уважаемый ALL, мы не телепаты, логи в студию winbindd.log

spmn · Непрочитанное сообщение **spmn** » 2007-06-21 11:50:54

Для старта винбинд надо дописать в rc.conf ... читай в /usr/local/etc/rc.c/samba в самом начале скрипта чего дописать .. будет стартовать, я так сделал ...

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:53:02

spmn писал(а):Для старта винбинд надо дописать в rc.conf ... читай в /usr/local/etc/rc.c/samba в самом начале скрипта чего дописать .. будет стартовать, я так сделал ...

я кстати уже сам так ис делал, но по ps -ax у меня чкуть ли не чутвыре процеса winbindd крутицца

)

forum.lissyara.su

про ограничение прав юзеров в домене на самбе

про ограничение прав юзеров в домене на самбе

Услуги хостинговой компании Host-Food.ru