From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00 autolearn=ham autolearn_force=no version=3.4.1 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Date: Mon, 06 Aug 2018 11:56:45 +0300 From: =?UTF-8?Q?=D0=9C=D0=BE=D1=81=D0=BA=D0=B0=D0=BB=D0=B5=D0=BD=D0=BA?= =?UTF-8?Q?=D0=BE_=D0=90=D0=BB=D0=B5=D0=BA=D1=81=D0=B5=D0=B9_=D0=92=D0=BB?= =?UTF-8?Q?=D0=B0=D0=B4=D0=B8=D0=BC=D0=B8=D1=80=D0=BE=D0=B2=D0=B8=D1=87?= To: sysadmins@lists.altlinux.org Message-ID: X-Sender: mav@elserv.msk.su Cc: samba@lists.altlinux.org Subject: [Sysadmins] =?utf-8?b?U2FtYmEgNC42LjE1LCDQtNC+0LzQtdC90L3Ri9C1?= =?utf-8?b?INC/0L7Qu9GM0LfQvtCy0LDRgtC10LvQuCDQuCDQs9GA0YPQv9C/0YssIHBv?= =?utf-8?q?six_acl?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 06 Aug 2018 08:56:48 -0000 Archived-At: List-Archive: Здравствуйте. Столкнулся с непонятным мне поведением winbind в samba 4.6.15(p8) в части использования доменных пользователей и групп в nss. Есть домен на samba (nt4-style). Есть член этого домена на P8 (samba 4.6.15). На нем настроен idmap backend rid. Конфиг члена домена: [global] dos charset = CP866 server string = Server (ver. %v) workgroup = DOMAIN local master = No os level = 200 preferred master = No log file = /var/log/samba/log.%m max log size = 50 load printers = No printcap name = /dev/null client ipc signing = if_required client signing = if_required security = DOMAIN server signing = if_required template homedir = /dev/null template shell = /dev/null winbind sealed pipes = No wins server = 192.168.0.1 idmap config domain : range = 1000000 - 1999999 idmap config domain : backend = rid idmap config * : range = 100000 - 199999 dbwrap_tdb_mutexes:* = yes idmap config * : backend = tdb map archive = No map readonly = no store dos attributes = Yes printing = lprng map acl inherit = Yes inherit acls = Yes use sendfile = Yes vfs objects = acl_xattr streams_xattr В домене заведен пользователь test.tt, входящий в одну глобальную группу - Domain users. Все описанное ниже происходит на члене домена. Первая странность - в группы любого пользователя добавляется также и группа с его именем. Пример: # id domain\\test.tt uid=1041378(DOMAIN\test.tt) gid=1000513(DOMAIN\domain users) группы=1041378(DOMAIN\test.tt),1000513(DOMAIN\domain users),10001(BUILTIN\users) # wbinfo -G 1041378 S-1-5-21-DOMAIN_SID-41378 # wbinfo -U 1041378 S-1-5-21-DOMAIN_SID-41378 # wbinfo --user-groups=elserv\\test.tt 1041378 1000513 10001 # for gid in $(wbinfo --user-groups=domain\\test.tt); do wbinfo -s $(wbinfo -G $gid); done DOMAIN\test.tt 1 DOMAIN\Domain Users 2 BUILTIN\Users 4 Вопрос - что за группа DOMAIN\test.tt с GID 1041378? В домене ее нет, а на члене домена для любого доменного пользователя есть соответствующая группа с таким же именем, GID=UID и одинаковыми SID. Для чего это сделано и нельзя ли это как-нибудь отключить? Вторая странность - при создании файлов/каталогов на общем ресурсе, для них выставляются непонятные мне POSIX ACLs: # getfacl test # file: test # owner: DOMAIN\\test.tt # group: DOMAIN\\domain\040users user::rwx user:1000513:r-x group::r-x group:DOMAIN\\domain\040users:r-x group:DOMAIN\\test.tt:rwx mask::rwx other::r-x default:user::rwx default:user:DOMAIN\\test.tt:rwx default:group::r-x default:group:DOMAIN\\domain\040users:r-x default:mask::rwx default:other::r-x # getfacl test/q.txt # file: test/q.txt # owner: DOMAIN\\test.tt # group: DOMAIN\\domain\040users user::rwx user:1000513:r-x group::r-x group:DOMAIN\\domain\040users:r-x group:DOMAIN\\test.tt:rwx mask::rwx other::r-x Появляется запись ACL пользователя для UID=1000513 (на самом деле это GID для группы DOMAIN\domain users) и запись ACL группы для GID=1041378 (а это UID для пользователя DOMAIN\test.tt, который из-за странности (1) отображается в несуществующую группу DOMAIN\test.tt). Пользователя с UID=1000513 не существует, поэтому он показывается номером. Собственно, хочется понять корни такого поведения, чтобы принять решение, что с этим делать дальше.