Samba, ldap, групповые шары в винде

[urusha]

Здравствйте! тут http://forum.lissyara.su/viewtopic.php? ... 00#p122171 изложил свой вопрос, но толкового ответа не получил.
Вопрос: можно ли в винде (хп, 2к3) делать шары по доменным группам самбы. "По юзерям работает, но это ж не серьезно. Пробовал влкючать дом. группу/дом. юзеров в локальную группу и давать ей права, не фурычит. Может есть какая-то хитрость?"
Если это не возможно так и скажите (хотя это печально), тк нагуглить четкого ответа не смог. Решения по сносу винды не предлагать, самому хочется, но на сервере крутятся виндовые сервисы.
Спасибо за внимание.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Конечно можно, у меня в одной организации, всего 10 машин, специально стоит домен на Samba(PDC), и есть киенты в нем и XP и W2k3.
А домен поставил из-за прав доступа к ресурсам, в рабочей группе все приходилось администрировать через одно место, слишком специфичные задачи ставились, в результате на каждой тачке приходилось ... После поднятия домена все стало легко и просто...

[urusha]

Конечно можно, у меня в одной организации, всего 10 машин, специально стоит домен на Samba(PDC), и есть киенты в нем и XP и W2k3.
А домен поставил из-за прав доступа к ресурсам, в рабочей группе все приходилось администрировать через одно место, слишком специфичные задачи ставились, в результате на каждой тачке приходилось ... После поднятия домена все стало легко и просто...

Это обнадеживает!
Но вот что происходит:
Есть юзер в лдапе testuser4
Я создаю группу в лдапе:

Код: Выделить всё

#ldapaddgroup testgroup
Warning : using command-line passwords, ldapscripts may not be safe
Successfully added group testgroup to LDAP

Делаю мап

Код: Выделить всё

#net groupmap add ntgroup="tesgroup" unixgroup=testgroup type=domain
No rid or sid specified, choosing a RID
Got RID 1041
Successfully added group tesgroup to the mapping db as a domain group

Включаю юзера в группу

Код: Выделить всё

#ldapaddusertogroup testuser4 testgroup
Warning : using command-line passwords, ldapscripts may not be safe
Successfully added user testuser4 to group testgroup

Проверим

Код: Выделить всё

#net rpc group members testgroup -U testuser4
Password:
BSZ\testuser4

Теперь в винде на папку в "Доступе" и "Безопасности" даю полные права группе testgroup. Пробую зайти testuser4 по сети в эту папку, мне говорят "Возможно у вас нет прав.... Отказано в доступе"

Делаю шару по юзеру, все работает, делаю шару по domain user, admins...все работает...
Что я делаю не так(серьезно)?

[snorlov]

Возьмите SVRTOOLS.exe от микрософта, там есть и svrmgr и usermgr, создайте группу с помощью usermgr, после чего, посмотрите какая группа у вас создалась, и потестируйте ее на шарах винды, если проблема останется, внимательнее разбирайтесь со скриптами оперирующими с группами, если уйдет, то вы при создании группы что-то забыли.
У меня кстати пакет ldapscripts так и не заработал в samba, как надо, руки очевидно на тот момент не помыл, заработали скрипты из smbldap-tools...

[urusha]

Взял srvtools, создал доменную группу, добавил юзеря в нее, судя по записям в лдап она получилась идентичной той которая создавалась с помощью ldapscripts
А именно:

Код: Выделить всё

#ldapsearch -LLL -b "ou=groups,dc=bsz,dc=local" "(cn=testgroup)"
dn: cn=testgroup,ou=groups,dc=bsz,dc=local
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: testgroup
gidNumber: 10011
sambaSID: S-1-5-21-2293229792-676733038-2369889758-1046
sambaGroupType: 2
displayName: testgroup
description: testgroup
memberUid: testuser4

Добавляю в "доступ" и "безопасность" группу... опять не фурычит... Для domain users и domain admins все работает, хотя записи в лдапе идентичны testgroup, кроме гидов, сидов и названий.
Дальше, в лдапе в ou=groups вижу 2 записи о локальных группах Administrators и Users

Код: Выделить всё

#ldapsearch -LLL -b "ou=groups,dc=bsz,dc=local" "(sambagrouptype=4)"
dn: sambaSID=S-1-5-32-545,ou=groups,dc=bsz,dc=local
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-32-545
sambaGroupType: 4
displayName: Users
gidNumber: 10028
sambaSIDList: S-1-5-21-2293229792-676733038-2369889758-513

dn: sambaSID=S-1-5-32-544,ou=groups,dc=bsz,dc=local
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-32-544
sambaGroupType: 4
displayName: Administrators
gidNumber: 10029
sambaSIDList: S-1-5-21-2293229792-676733038-2369889758-512

Здесь есть поля sambaSIDList, с сидами соответсвующих доменных групп (domain admins, domain users), в которых хранится список членов групы (поля memberuid). Из гугла смутно понял, что винда не может(?в каких-то случаях?) вытащить список членов по memberuid, но может через sambaSIDList. Ну думаю раз админы и юзеры работают, сделаю локальную группу testg и запишу в поле sambasidlist сид группы testgroup. Сделал:

Код: Выделить всё

#ldapsearch -LLL -b "ou=groups,dc=bsz,dc=local" "(displayname=testg)"
dn: sambaSID=S-1-5-21-2293229792-676733038-2369889758-1044,ou=groups,dc=bsz,dc=local
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-21-2293229792-676733038-2369889758-1044
sambaGroupType: 4
displayName: testg
gidNumber: 10041
description: testgroup
sambaSIDList: S-1-5-21-2293229792-676733038-2369889758-1046

В "доступе" и "безопасности" не появилось группы testg (как собственно и administrators, users не было), добавил опять testgroup... не работает.
Вот что в логах на win2k при заходе testuser4 на компьютер

Код: Выделить всё

Успешный сетевой вход в систему:
 	Пользователь:	testuser4
 	Домен:		BSZ
 	Код входа:		(0x0,0xED4476)
 	Тип входа:	3
 	Процесс входа:	NtLmSsp 
 	Пакет проверки:	NTLM
 	Рабочая станция:	TEST
 	Код GUID:	-
 	Имя вызывающего пользователя:	-
 	Домен вызывающего:	-
 	Код входа вызывающего:	-
 	Код процесса вызывающего:	-
 	Промежуточные службы:-
 	Адрес сети источника:	192.168.1.203
 	Порт источника:	0

В момент входа в какую-нибудь шару, пишет:

Код: Выделить всё

Успешный сетевой вход в систему:
 	Пользователь:	
 	Домен:		
 	Код входа:		(0x0,0xED44B6)
 	Тип входа:	3
 	Процесс входа:	NtLmSsp 
 	Пакет проверки:	NTLM
 	Рабочая станция:	TEST
 	Код GUID:	-
 	Имя вызывающего пользователя:	-
 	Домен вызывающего:	-
 	Код входа вызывающего:	-
 	Код процесса вызывающего:	-
 	Промежуточные службы:-
 	Адрес сети источника:	192.168.1.203
 	Порт источника:	0

а через секунду

Код: Выделить всё

 Выход пользователя из системы:
 	Пользователь:	АНОНИМНЫЙ ВХОД
 	Домен:		NT AUTHORITY
 	Код входа:	(0x0,0xEF95FF)
 	Тип входа:	3

то есть на компьютер входит под testuser4, а на шару под анонимусом... Причем если на сервере есть шара "для всех" открывая там какой-нибудь файл в "Сеансах" пишется, что файл открыт под testuser4, а не анонимом.
Что это может значить и как с таким бороться?

[snorlov]

Сравните свои данные
#ldapsearch -LLL -b "ou=groups,dc=bsz,dc=local" "(cn=testgroup)"
dn: cn=testgroup,ou=groups,dc=bsz,dc=local
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: testgroup
gidNumber: 10011
sambaSID: S-1-5-21-2293229792-676733038-2369889758-1046
sambaGroupType: 2
displayName: testgroup
description: testgroup
memberUid: testuser4

#ldapsearch -LLL -b "ou=groups,dc=bsz,dc=local" "(sambagrouptype=4)"
dn: sambaSID=S-1-5-32-545,ou=groups,dc=bsz,dc=local
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-32-545
sambaGroupType: 4
displayName: Users
gidNumber: 10028
sambaSIDList: S-1-5-21-2293229792-676733038-2369889758-513

Может в этом дело, т.е. посмотреть правильно настроены скрипты для управления группами, как сами скрипты так и и их config..

[urusha]

Сравните свои данные

Нет, здесь все ок, это дн разных групп (локальной и доменной). Смысл в том, что я создал локальную группу и включил в нее доменную.

Может в этом дело, т.е. посмотреть правильно настроены скрипты для управления группами, как сами скрипты так и и их config..

Скрипты, конфиги все со статьи dhcp ddns samba ldap. Особо самодеятельности не было, тока лдап 2.4 поставил (может действительно в нем глюк?).
В любом случае, я создал пользователя с примари группой testgroup и добавил его в группу domain users, вошел в домен зашел на машину с шарой и, о чудо, зашел на шару. Однако, на шару для domain users зайти не смог.
Вывод: разрешения работают только для примари группы. Хотя непонятка с анонимным входом в логах все равно осталась.
Отсюда вопрос, чем отличается примари от обычной группы в данном контексте?