Samba и права доступа

[Nickel]

Приветствую all!

Исходные данные: Ubuntu + Samba + LDAP. Проверка пользователей на вход, шары, принтера - все работает.

Вопрос 1: Есть такая утилитка под винду User Manager, так вот, если её использовать под доменной учетной записью Administrator (он же root), то все нормально, пользователей можно добавлять/изменять/удалять. Если же под другими пользователями (они конечно в группе Domain Admins), то выдаёт ошибку и не делает никаких изменений. Это исправляется? А то неудобно  .

Вопрос 2: При назначении прав доступа безопасности на файловую систему NTFS и на шары из-под винклиентов выдается список только локальных пользователей (не даёт выбирать доменных пользователей). Это вообще не понятно как решать и совсем не удобно никак.

Вопрос 3: На Samba сервере (который PDC), постоянно выводятся ошибки о невозможности создания create_builtin_users и create_builtin_administrators. Как их создать? Где их создать? В LDAP или в самой системе?

[hober]

Приветствую all!

Исходные данные: Ubuntu + Samba + LDAP. Проверка пользователей на вход, шары, принтера - все работает.

Вопрос 1: Есть такая утилитка под винду User Manager, так вот, если её использовать под доменной учетной записью Administrator (он же root), то все нормально, пользователей можно добавлять/изменять/удалять. Если же под другими пользователями (они конечно в группе Domain Admins), то выдаёт ошибку и не делает никаких изменений. Это исправляется? А то неудобно  .

Вопрос 2: При назначении прав доступа безопасности на файловую систему NTFS и на шары из-под винклиентов выдается список только локальных пользователей (не даёт выбирать доменных пользователей). Это вообще не понятно как решать и совсем не удобно никак.

Вопрос 3: На Samba сервере (который PDC), постоянно выводятся ошибки о невозможности создания create_builtin_users и create_builtin_administrators. Как их создать? Где их создать? В LDAP или в самой системе?

Выложи все конфиги, начиная от smb.conf и кончая ldap.conf, nsswitch.conf, nss_ldap.conf, конфиги smbldap-tool-сов ( а также какая версия тулсоф, самбы и лдапа ), далее логи messages, и желательно логи с машин.
Таг на угад могу сказать в чом проблема, но без конфигов и логов эт этого толку мало.

[Nickel]

Вот они!

Извиняюсь что сразу не разместил.

samba 3.0.24-2ubuntu1.2
slapd 2.3.30-2
smbldap-tools 0.9.2-3

[hober]

Пока, бегло особо ошибок не заметил кроме в smb.conf:

print caps name = cups

в логах

Unknown parameter encountered: "print caps name"

Далее
в логах

winbindd: idmap uid range missing or invalid

Вот это у тя есть а

        idmap backend = ldap:ldap://localhost

вот этого нету

        idmap uid = 10000-20000
        idmap gid = 10000-20000

Далее

Feb 29 15:16:59 gateway smbd[8811]:   doing parameter panic action = /usr/share/samba/panic-action %d

Такого параметра panic action в smb.conf я еще не видел. Убирай

Feb 29 15:17:00 gateway smbd[8845]: [2008/02/29 15:17:00, 0] auth/auth_util.c:create_builtin_administrators(785)
Feb 29 15:17:00 gateway smbd[8845]:   create_builtin_administrators: Failed to create Administrator

s

Ну тут вроде бы ясно, зайди лдап админом и посмотри есть ли у тебя системные группы - Domains admin, Domains Users, Operators... даже еси какойто из них не будет самба будет напрочь ругаться ( проверено ). Далее для теста создай с консоли юзверя и заведи его в группу какунить
smbldap-tools/smbldap-useradd имя

втяни его в группу
smbldap-usermod -m имя группа
посмотри ошибки и выложи сюда их

Зайди юзер менеджером и создай юзверя и выложи лог этого юзверя.

В общем господа читайте все логи, на 99% вопросов там лежат ответы.

[Nickel]

print caps name = cups

Исправленно на printcap name = cups

вот этого нету

        idmap uid = 10000-20000
        idmap gid = 10000-20000

Добавленно.

Feb 29 15:17:00 gateway smbd[8845]: [2008/02/29 15:17:00, 0] auth/auth_util.c:create_builtin_administrators(785)
Feb 29 15:17:00 gateway smbd[8845]:   create_builtin_administrators: Failed to create Administrator

s

Ну тут вроде бы ясно, зайди лдап админом и посмотри есть ли у тебя системные группы - Domains admin, Domains Users, Operators... даже еси какойто из них не будет самба будет напрочь ругаться ( проверено ). Далее для теста создай с консоли юзверя и заведи его в группу какунить
smbldap-tools/smbldap-useradd имя

втяни его в группу
smbldap-usermod -m имя группа
посмотри ошибки и выложи сюда их

[/quote]

Здесь немного не понятно. Какие системные группы должны обязательно быть? Сейчас имеются Domain Admins, Domain Users, Domain Guests, Domain Computers, Domain Controllers.
Тестовый пользователь создается, заводится/выводится в группы без ошибок.

И еще вопрос. Я так понимаю необходимо чтоб были unix группы соответствующие nt группам. С маппингом групп. Правильно? Команда net groupmap list показывает только связь unix групп с nt группами?

[hober]

Здесь немного не понятно. Какие системные группы должны обязательно быть? Сейчас имеются Domain Admins, Domain Users, Domain Guests, Domain Computers, Domain Controllers.
Тестовый пользователь создается, заводится/выводится в группы без ошибок.

Domain Admins, Domain Users, Domain Guests, Domain Computers, Administrators, Users, Guests, Account Operators, Print Operators, Backup Operators, Replicators ( у меня не было группы репликаторс, самба очень сильно ругалось, так что проверь ) Да и вообще smbldap-populate нормально выполнился? Ошибок не было? Слей последнюю версию тулсоф, т.к на них как раз таки и зоваязано создание юзверей/удаление и т.д.

http://www.iallanis.info/smbldap-tools/development_release/smbldap-tools-0.9.5.tgz

И еще вопрос. Я так понимаю необходимо чтоб были unix группы соответствующие nt группам. С маппингом групп. Правильно? Команда net groupmap list показывает только связь unix групп с nt группами?

Насчет этого не знаю.

[Nickel]

Domain Admins, Domain Users, Domain Guests, Domain Computers, Administrators, Users, Guests, Account Operators, Print Operators, Backup Operators, Replicators ( у меня не было группы репликаторс, самба очень сильно ругалось, так что проверь ) Да и вообще smbldap-populate нормально выполнился? Ошибок не было? Слей последнюю версию тулсоф, т.к на них как раз таки и зоваязано создание юзверей/удаление и т.д.

Добавил недостающие группы командой:
smbldap-groupadd -s <SID> '<Groupname>'
Имена и SID узнал отсюда: http://support.microsoft.com/kb/243330/en-us
Ошибки о невозможности создания create_builtin_users и administrators исчезли.

User manager заработал после добавления прав пользователю командой:
rpc rights grant '<username>' <права>
<права> определил командой rpc rights list и rpc rights list <username>

smbldap-populate выполнялся в составе пакета http://sourceforge.net/projects/w2lmt/. Поэтому сейчас приходится допиливать руками.

Все еще остается открытым вопрос назначания прав на каталоги и файлы под виндовыми клиентами.

[hober]

smbldap-populate выполнялся в составе пакета http://sourceforge.net/projects/w2lmt/. Поэтому сейчас приходится допиливать руками.

Все еще остается открытым вопрос назначания прав на каталоги и файлы под виндовыми клиентами.

Этож пакет аж 2004-го года. Я те ссылку дал на последнии версии.

Насчет назначения прав,  думаю надо копать в сторону smb.conf.
Включи ntlm2 аунтификацию
      client NTLMv2 auth = Yes
time server:
      time server = yes
И копай логи.