From: "Москаленко Алексей Владимирович" <mav@elserv.msk.su> To: sysadmins@lists.altlinux.org Cc: samba@lists.altlinux.org Subject: [Sysadmins] Samba 4.6.15, доменные пользователи и группы, posix acl Date: Mon, 06 Aug 2018 11:56:45 +0300 Message-ID: <e82c7bb67174a14632d3fab9352dd9a0@elserv.msk.su> (raw) Здравствуйте. Столкнулся с непонятным мне поведением winbind в samba 4.6.15(p8) в части использования доменных пользователей и групп в nss. Есть домен на samba (nt4-style). Есть член этого домена на P8 (samba 4.6.15). На нем настроен idmap backend rid. Конфиг члена домена: [global] dos charset = CP866 server string = Server (ver. %v) workgroup = DOMAIN local master = No os level = 200 preferred master = No log file = /var/log/samba/log.%m max log size = 50 load printers = No printcap name = /dev/null client ipc signing = if_required client signing = if_required security = DOMAIN server signing = if_required template homedir = /dev/null template shell = /dev/null winbind sealed pipes = No wins server = 192.168.0.1 idmap config domain : range = 1000000 - 1999999 idmap config domain : backend = rid idmap config * : range = 100000 - 199999 dbwrap_tdb_mutexes:* = yes idmap config * : backend = tdb map archive = No map readonly = no store dos attributes = Yes printing = lprng map acl inherit = Yes inherit acls = Yes use sendfile = Yes vfs objects = acl_xattr streams_xattr В домене заведен пользователь test.tt, входящий в одну глобальную группу - Domain users. Все описанное ниже происходит на члене домена. Первая странность - в группы любого пользователя добавляется также и группа с его именем. Пример: # id domain\\test.tt uid=1041378(DOMAIN\test.tt) gid=1000513(DOMAIN\domain users) группы=1041378(DOMAIN\test.tt),1000513(DOMAIN\domain users),10001(BUILTIN\users) # wbinfo -G 1041378 S-1-5-21-DOMAIN_SID-41378 # wbinfo -U 1041378 S-1-5-21-DOMAIN_SID-41378 # wbinfo --user-groups=elserv\\test.tt 1041378 1000513 10001 # for gid in $(wbinfo --user-groups=domain\\test.tt); do wbinfo -s $(wbinfo -G $gid); done DOMAIN\test.tt 1 DOMAIN\Domain Users 2 BUILTIN\Users 4 Вопрос - что за группа DOMAIN\test.tt с GID 1041378? В домене ее нет, а на члене домена для любого доменного пользователя есть соответствующая группа с таким же именем, GID=UID и одинаковыми SID. Для чего это сделано и нельзя ли это как-нибудь отключить? Вторая странность - при создании файлов/каталогов на общем ресурсе, для них выставляются непонятные мне POSIX ACLs: # getfacl test # file: test # owner: DOMAIN\\test.tt # group: DOMAIN\\domain\040users user::rwx user:1000513:r-x group::r-x group:DOMAIN\\domain\040users:r-x group:DOMAIN\\test.tt:rwx mask::rwx other::r-x default:user::rwx default:user:DOMAIN\\test.tt:rwx default:group::r-x default:group:DOMAIN\\domain\040users:r-x default:mask::rwx default:other::r-x # getfacl test/q.txt # file: test/q.txt # owner: DOMAIN\\test.tt # group: DOMAIN\\domain\040users user::rwx user:1000513:r-x group::r-x group:DOMAIN\\domain\040users:r-x group:DOMAIN\\test.tt:rwx mask::rwx other::r-x Появляется запись ACL пользователя для UID=1000513 (на самом деле это GID для группы DOMAIN\domain users) и запись ACL группы для GID=1041378 (а это UID для пользователя DOMAIN\test.tt, который из-за странности (1) отображается в несуществующую группу DOMAIN\test.tt). Пользователя с UID=1000513 не существует, поэтому он показывается номером. Собственно, хочется понять корни такого поведения, чтобы принять решение, что с этим делать дальше.
next reply other threads:[~2018-08-06 8:56 UTC|newest] Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top 2018-08-06 8:56 Москаленко Алексей Владимирович [this message] 2018-08-08 17:13 ` [Sysadmins] [samba] " Evgeny Sinelnikov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=e82c7bb67174a14632d3fab9352dd9a0@elserv.msk.su \ --to=mav@elserv.msk.su \ --cc=samba@lists.altlinux.org \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git