From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3FF95359.5050706@solin.spb.ru> Date: Mon, 05 Jan 2004 15:06:49 +0300 From: "Aleksey Avdeev" User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.4) Gecko/20031103 X-Accept-Language: ru, be, uk, en-us, en MIME-Version: 1.0 To: sisyphus@altlinux.ru, community@altlinux.ru Subject: Re: [sisyphus] =?KOI8-R?Q?=F2=C1=DA=C2=CF=D2=CB=C9_=D3_Samba?= =?KOI8-R?Q?_3=3A_=E4=C5=C6=CF=CC=D4=CE=D9=C5_=C7=D2=D5=D0=D0=D9_?= =?KOI8-R?Q?=C9_=D0=CF=CC=D8=DA=CF=D7=C1=D4=C5=CC=C9_=C4=CF=CD=C5=CE=C1?= References: <3FF28E96.8080204@solin.spb.ru> In-Reply-To: <3FF28E96.8080204@solin.spb.ru> X-Enigmail-Version: 0.76.1.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Cc: X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: sisyphus@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 05 Jan 2004 12:06:56 -0000 Archived-At: List-Archive: Здравствуйте, уважаемые. С Новым Годом! :-) Aleksey Avdeev пишет: > С Новым Годом, уважаемые. > > Поднимаю домен на Samba 3. Есть несколько вопросов на которые я не > смог найти ответы (может не там искал или нашёл, но непонял). Подскажите > пожалуйста, где искать информацию (лучше - на русском). > > В документации присутствует список дефолтных груп и пользователей > домена (). > Из него мне известно (я так думаю, могу ошибаться: с виндовыми доменами > знаком поверхностно) только: > > 1) Domain Administrator, Domain Guest, Domain Admins, Domain Users и > Domain Guests - назначение и понятно, какие права давать; > > 2) Domain Computers и Domain Controllers - назначение понятно (из > названия), непонятно - какие права им нужны. > > С остальным списком непонятно нечего... Где можно посмотреть, задачи > групп (и пользователей) и рекомендации по раздаче им прав? > > PS: Следующие вопросы - другим письмом. > Дополнения к предыдущему: 1. По умолчанию (до настройки net groupmap руками): ############## sudo net groupmap list System Operators (S-1-5-32-549) -> -1 Domain Admins (S-1-5-21-4161302599-1229860975-3578772647-512) -> root Replicators (S-1-5-32-552) -> -1 Guests (S-1-5-32-546) -> -1 Domain Guests (S-1-5-21-4161302599-1229860975-3578772647-514) -> -1 Power Users (S-1-5-32-547) -> -1 Print Operators (S-1-5-32-550) -> -1 Administrators (S-1-5-32-544) -> -1 Domain Users (S-1-5-21-4161302599-1229860975-3578772647-513) -> -1 Account Operators (S-1-5-32-548) -> -1 Backup Operators (S-1-5-32-551) -> -1 Users (S-1-5-32-545) -> -1 ############### 2. Создал псевдопользователей (HOME=SHELL=/dev/null) smbusers и smbguests с одноимёнными группами. 3. Настроил net groupmap следующим образом: ############### sudo net groupmap list System Operators (S-1-5-32-549) -> -1 Domain Admins (S-1-5-21-4161302599-1229860975-3578772647-512) -> root Replicators (S-1-5-32-552) -> -1 Guests (S-1-5-32-546) -> smbguests Domain Guests (S-1-5-21-4161302599-1229860975-3578772647-514) -> smbguests Power Users (S-1-5-32-547) -> -1 Print Operators (S-1-5-32-550) -> -1 Administrators (S-1-5-32-544) -> root Domain Users (S-1-5-21-4161302599-1229860975-3578772647-513) -> smbusers Account Operators (S-1-5-32-548) -> -1 Backup Operators (S-1-5-32-551) -> -1 Users (S-1-5-32-545) -> smbusers ############### Вопросы в следующем: 1. Что я сделал неверно, с точки зрения безопасности? 2. Что я не доделал (в рамках пользовательских групп) для корректной работы домена? PS: У меня samba3-3.0-alt46.1 (Сизиф) но (ИМХО) данное обсуждение слабо связано с дистрибутивом. -- С уважением. Алексей.