SAMBA LDAP>Probleme de doits en ecriture:write list - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 15-07-2008 à 22:28:08
Ca sera pas du a l'espace dans le nom du groupe ?
Marsh Posté le 16-07-2008 à 12:41:15
Bonjour a vous.
Voici les droits sur on dossier :
drwxrwxrwx 2 root root 4096 Jul 15 16:44 free
et pour l'espace dans le nom, malheureusement, ce ne peut pas etre ca. D'autres personnes ont réussi a détourner ce problème avec l'utilisation des "". De plus, j'ai effectuer un smbldap-populate, ce qui me creer ces dossiers par default. je vous donne le résultat de smbldap-groupshow "Domain Admins" :
dn: cn=Domain Admins,ou=Groups,dc=...
objectClass: top,posixGroup,sambaGroupMapping
gidNumber: 512
cn: Domain Admins
memberUid: root,unadmin
description: Netbios Domain Administrators
sambaSID: S-1-5-21-325747858-3989977131-539996005-512
sambaGroupType: 2
displayName: Domain Admins
J'ai aussi essayer avec l'utilisateur root present dans ce meme domain, mais ca ne fonctionne pas non plus....
Merci pour votre aide et si vous voyez quelque chose d'autre !
Flavio_Dev
Marsh Posté le 16-07-2008 à 17:42:11
Chose étonnante, je viens de mettre write list = @"Domain Users", et mon utilisateur "unadmin" arrive a créer des dossiers, des fichiers...
Pourtant, si je fait un smbldap-groupshow "Domain Users", voici ce que j'ai :
dn: cn=Domain Users,ou=Groups,dc=king,dc=ifru23
objectClass: top,posixGroup,sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-325747858-3989977131-539996005-513
sambaGroupType: 2
displayName: Domain Users
Peut etre que ca fonctionne par sambaSID. Je m'explique. On remarque ici que le samba sid du groupe Users est 513. Voici ce que je trouve lorsque je fait un pdbedit -v unadmin :
Unix username: unadmin
NT username: unadmin
Account Flags: [U ]
User SID: S-1-5-21-325747858-3989977131-539996005-3016
init_group_from_ldap: Entry found for group: 513
ldapsam_getsampwsid: Unable to locate SID [S-1-5-21-325747858-3989977131-539996005-513] count=0
init_group_from_ldap: Entry found for group: 513
Primary Group SID: S-1-5-21-325747858-3989977131-539996005-513
Full Name: unadmin
Home Directory: \\mercury\unadmin
HomeDir Drive: P:
Logon Script: logon.bat
Profile Path: \\mercury\profiles\unadmin
On remarque qu'il a un Primary Group SID a 513... serait-ce pour cela que mon user unadmin arrive a ecrite lorsque le fichier smb.conf est a write list = @"Domain Users" ?
Si c'est le cas, quel est l'intérêt de faire un smbldap-groupmod -m unadmin Domain\ Admins (c'est la commande que j'ai exécuter pour pouvoir ajouter mon user unadmin dans le domaine Admins) si ce n'est pas pour faire des groupes ? Autre question : dans ce cas, que faire pour que lorsque je bouge un utilisateur dans un domaine, il prenne les bons paramètres pour pouvoir être considéré "pour de vrai" dans ce domaine ? Changer manuellement le Primary Group SID du user n'est pas une bonne solution (effectivement, si je décide de mettre un user dans plusieurs domaines, comme par exemple 512, 513 et 516, lequel doit il prendre ?).
Je précise que 513 est la valeur que tout utilisateur prend par défaut a sa création (cette valeur est défini dans le fichier smbldap.conf par defaultUserGid="513" ).
Avez vous des solutions pour m'éclairer ?
D'avance merci!
Marsh Posté le 16-07-2008 à 18:51:49
... il ne faut quand meme pas creer de groupes sous Unix et les mapper....
http://ftp.math.sk/linux/system/samba/howto/howto
Mapping Groups
You need to map your unix groups to the domain groups using the 'net'
command. The 'net' command is relatively new to Samba. To view a list of the
commands available type 'net view' at the console.
net groupmap modify ntgroup="Domain Admins" unixgroup=admins
net groupmap modify ntgroup="Domain Users" unixgroup=users
net groupmap add ntgroup="Teachers" unixgroup=teachers
net groupmap add ntgroup="Students" unixgroup=students
Marsh Posté le 17-07-2008 à 13:21:02
Pour info moi j'avais monter un system SAMBA-LDAP avec LDAP comme authentification pour Unix et je n'avais pas ce genre de probleme. J avais créé les groupes dans LDAP et roulez
Marsh Posté le 18-07-2008 à 12:32:34
Et bien j'avais deja monter un samba seul et javais reussi a mettre des droits a certains groupes que j'avais prealablement cree sous UNIX. Mais dans mn cas ici, ce n'est pas avec des groupe Unix, mais bien avec des groupes LDAP. Je peut peut etre essayer de creer un autre groupe dans ma strucutre LDAP, mettre un user dedans et regarder comment ca reagit.
Je rappelle que la commande que j'ai utiliser apres avoir cree mon user (avec un smbldap -m -u unadmin) pour le mettre dans le groupe Domain Admins est :
smbldap-groupmod -m unadmin Domain\ Admins
Que dois je faire de plus!
Merci
Marsh Posté le 18-07-2008 à 17:03:00
J'ai creer un autre groupe avec la commande smbldap-groupadd ... puis j'ai mis le SID correspondant a mon serveur samba ldap. J'ai aussi cree un utilisateur et je l'ai mis dans le domaine. Mais lorsque je donne les droits a ce nouveau domaine en ecriture sur une ressource, ca ne fonctionne pas (comme pour Domain Admins). Je pense qu'il y a un probleme quelque pqrt... mais ou ?
Avez vous des idees ? Merci. Flavio_dev
Marsh Posté le 21-07-2008 à 16:48:59
Bonjour
Aujourd'hui, j'ai essayer de changer les propriétaires des dossiers (ressources) partages avec mon serveur Samba LDAP. J'ai fais un chown et chgrp en mettant "ldap" au lieu de "root" precedement sur le dossier free. Voici donc ce que cela donne :
AVANT : drwxrwxrwx 2 root root 4096 Jul 15 16:44 free
APRÈS : drwxrwxrwx 2 ldap ldap 4096 Jul 15 16:44 free
Ca ne change absolument rien. Lorsque je mets dans la write list le nom d'un user, pas de prob, mais quand je mets un nom de groupe (@quelquechose...) rien a faire.
Quelqu'un a t'il rencontre ce problème ?
Marsh Posté le 22-07-2008 à 18:17:16
Après moult essais en tout genre, j'ai tout simplement vu que dans mon fichier /etc/ldap.conf, je n'avais pas mis de "s" a Groups...
nss_base_group ou=Group,dc=king,dc=ifru23?one ->
nss_base_group ou=Groups,dc=king,dc=ifru23?one
C'est tout...
Résolu!
Marsh Posté le 15-07-2008 à 18:07:41
bonjour
J'ai mis en place un Samba LDAP. J'ai un user "unadmin" que j'ai mis dans le groupe Domain Admins.
Avec la session suivante :
[openspace]
comment = The Open Space For All The User But Just In Read
path = /data/free
browsable = yes
write list = @"Domain Admins"
create mask = 0755
directory mask = 0755
je ne peux pas creer de fichier (ecrire) dans le dossier openspace qui s'affiche, alors que je devrai au moins pouvoir le faire avec unadmin ! Si je remplace par :
write list = unadmin
ca fonctionne correctement.
Savez vous ce qui peut provoquer l'erreur ?
D'avance merci.
Resultat du testparm :
mercury:~ # testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[sysvol]"
Processing section "[netlogon]"
Processing section "[printers]"
Processing section "[profiles]"
Processing section "[openspace]"
Processing section "[garbage]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
...
[openspace]
comment = The Open Space For All The User But Just In Read
path = /data/free
write list = "@Domain Admins"
create mask = 0755
...
Message édité par flavio_dev le 15-07-2008 à 18:13:01