[Aiuto] Problema con Samba4 AD e Unix UID...
Pubblicato: 20 marzo 2018 - 12:13
Buongiorno,
Non sono sicuro che questa sia la sezione giusta per chiedere aiuto, se non lo è mi scuso.
Ho seguito la documentazione messa a disposizione da voi per creare un nuovo dominio compatibile con AD con samba4 in PDC.
Ho specificato "--use-rfc2307" per abilitare gli attributi Unix; la riga di provisioning si presentava così:
Ho quindi creato i miei utenti e gruppi specificando gli uid e i gid appropriati.
Ho configurato nslcd/nscd localmente in modo che interroghi il samba ldap con l'autenticazione keytab kerberos e fornisca la mappatura appropriata.
Se eseguo un "id user", ottengo l'UID Unix dell'utente e i suoi gruppi con l'ID Unix.
Fin qui tutto bene, potreste dire ^^: sì, fin qui tutto bene.
Tuttavia, ho creato una condivisione di prova sul controller di dominio, con restrizioni per un gruppo specifico (anche questa restrizione funziona). L'utente può connettersi alla condivisione e creare file e cartelle. Tuttavia, gli UID dei file/cartelle creati sono compresi nell'intervallo 300000X, mentre l'UID dell'utente dovrebbe normalmente essere compreso nell'intervallo 22XX... i GID sembrano corretti (impostati sul GID Unix del gruppo primario dell'utente: 513)...
Ecco alcune informazioni sulla configurazione attuale:
smb.conf:
Alcuni controlli:
Quindi, confesso che non capisco davvero perché vengono creati i file sulla condivisione Windows con un UID di 300000XX...
Ho abilitato la registrazione... ma non ho trovato nulla di conclusivo :/ ... Se qualcuno ha qualche idea, gliene sarei estremamente grato ^^'
Grazie a tutti.
--
Ulisse31
Non sono sicuro che questa sia la sezione giusta per chiedere aiuto, se non lo è mi scuso.
Ho seguito la documentazione messa a disposizione da voi per creare un nuovo dominio compatibile con AD con samba4 in PDC.
Ho specificato "--use-rfc2307" per abilitare gli attributi Unix; la riga di provisioning si presentava così:
Codice: Seleziona tutto
samba-tool domain provision --use-rfc2307 --realm=DOMAIN.LAN --domain DOMAIN --adminpass XXXXXX --server-role=dcHo configurato nslcd/nscd localmente in modo che interroghi il samba ldap con l'autenticazione keytab kerberos e fornisca la mappatura appropriata.
Se eseguo un "id user", ottengo l'UID Unix dell'utente e i suoi gruppi con l'ID Unix.
Fin qui tutto bene, potreste dire ^^: sì, fin qui tutto bene.
Tuttavia, ho creato una condivisione di prova sul controller di dominio, con restrizioni per un gruppo specifico (anche questa restrizione funziona). L'utente può connettersi alla condivisione e creare file e cartelle. Tuttavia, gli UID dei file/cartelle creati sono compresi nell'intervallo 300000X, mentre l'UID dell'utente dovrebbe normalmente essere compreso nell'intervallo 22XX... i GID sembrano corretti (impostati sul GID Unix del gruppo primario dell'utente: 513)...
Ecco alcune informazioni sulla configurazione attuale:
smb.conf:
Codice: Seleziona tutto
# Global parameters
[global]
dns forwarder = 8.8.8.8
netbios name = ADSERVER
realm = DOMAIN.LAN
server role = active directory domain controller
workgroup = DOMAIN
idmap_ldb:use rfc2307 = yes
log level = 10
[netlogon]
path = /var/lib/samba/sysvol/domain.lan/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
[IT]
comment = IT Local Share
writable = yes
path = /share/groups/IT
valid users = "@Unix Admins"
browseable = yes
create mask = 2660
directory mask = 2770
Codice: Seleziona tutto
# wbinfo -i user
DOMAIN\user:*:2242:513::/home/DOMAIN/user:/bin/false
# wbinfo --name-to-sid user
S-1-5-21-2164598009-1727115798-1474587502-1343 SID_USER (1)
# wbinfo --sid-to-uid S-1-5-21-2164598009-1727115798-1474587502-1343
2242
# ls -lan /share/groups/IT/
total 40
drwxr-xr-x 6 2287 171 4096 Mar 20 11:34 .
drwxr-xr-x 3 0 0 4096 Feb 26 10:36 ..
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:04 lol
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:31 lol2
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:33 plop
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:34 plop2
Quindi, confesso che non capisco davvero perché vengono creati i file sulla condivisione Windows con un UID di 300000XX...
Ho abilitato la registrazione... ma non ho trovato nulla di conclusivo :/ ... Se qualcuno ha qualche idea, gliene sarei estremamente grato ^^'
Grazie a tutti.
--
Ulisse31