Dotaz: Samba - manuální přidávání uživatelů a volba SID

Ja mam rucne spravene mapovanie user sid=domainsid-uidnumber. Mam to tak hlavne kvoli prehladnosti a tomu, ze aplikaciu na pridavanie/editovanie userov som si robil sam na kolene. Ako by sa to malo mapovat je napr popisane v help stranke k skriptu smbldap-useradd (sucastou smbldap-tools).

Maximum Number of Security Identifiers

There is a limit of approximately 1 billion security identifiers (SIDs) over the
 life of a domain. This limit is due to the size of the global relative identifier 
(RID) pool of 30 bits that makes each SID (that is assigned to user, group, and 
computer accounts) in a domain unique. The actual limit is 230 or 1,073,741,823 
RIDs. Because RIDs are not reused—even if security principals are deleted—the 
maximum limit applies, even if there are less than 1 billion security principals in 
the domain.

Už jsme to asi řešili nedávno v tady diskusi o Sambě. Podíval jsem se na to, a je celé dost chaotické. Zkusím to nějak shrnout.

Historicky Samba používala algoritmické mapování, v smb.conf býval parametr algorithmic rid base, výhozí hodnota byla 1000. Vypadalo to asi tak: USER_SID = RID_BASE + 2*UID, GROUP_SID = RID_BASE + 1 + 2*GID (jde o tu koncovou část dlouhého SIDu). Výhoda byla, že SIDy nemusely být nikde uložené a mohly se obousměrně vypočítat vždy znovu (v té době se obvykle používal primitivní /etc/smbpasswd).

Později se přešlo na jiná úložiště (tdabsam, LDAP) kde jsou SIDy uložené přímo, takže se SID vygeneroval při přidání uživatele/skupiny do databáze Samby a později se už používal ten uložený. A tady nastává jeden z problémů - jsou na to různé nástroje jako smbpasswd, pdbedit, smbldap-tools, a jiné). Každý ten nástroj funguje trochu jinak a generuje SIDy po svém.

Já jsem vždy, i po přechosu na LDAP, nechával SIDy na automatické volbě. Uživatele a skupiny v LDAPu vždy založím bez Samba atributů (tj. i bez SIDu) importem LDIFu, který mi generuje shell skript. Pak zavolám smbpasswd -a resp. net groupmap add.

Na Debianu Etch (už dost stará Samba 3.0.24) s LDAPem pozoruju asi takové chování:

- v LDAP objektu domény je parametr nextRid, který začal na hodnotě 1000, a postupně se zvyšuje. Tomu odpovdají SIDy skupin přidaných přes net groupmap. Jsou to lichá i sudá čísla narůstající s novými skupinami. Tady se algoritmické mapování nekoná.

- pak je tam nextUserRid, který mám pořád 1000, a to se tam účty přidávají hodně často. U uživatelů SIDy odpovídají tomu algoritmickému mapování, co jsem popsal výše. Tj. jsou to jen sudá čísla. Toto chování přisuzuji použití "legacy" nástroje smbpasswd. Možná novější verze Samby toto dělá jinak.

Takže je vidět, že tu mám potenciální problém, že se mi "potkají" SIDy skupin a uživatelů. Ale vzhledem k tomu, že UID uživatelů volím od 10000 výše, tj. SID od 21000, a SID skupin je teď u poslední asi 1300, není co řešit! Ještě se mi to komplikuje tím, že některé skupiny přidávám přes LDAP Admin, který Samba atributy do LDAPu generuje sám. Ale tady SID skupin volí algoritmicky jako lichá čísla, takže OK.

Pokud s tím chcš pohnout, tak doporučuju zkusit v LDAPu založit pár skupin a uživatelů bez LDAP atributů. Pak použít ty smbpasswd -a resp. net groupmap add a nechat je, ať zvolí SID automaticky (tyto nástroje samy rozšíří u LDAP záznamů schema o Samba atributy). Pak se podívat do LDAPu jak to dopadlo.

Ještě se můžeš podívat dovnitř smbldap-tools, jak to řeší (jsou to perl skripty). Pokud vím, tak tam přímo zapisují Samba atributy do LDAPu, a nepoužívají třeba net groupmap.

Závěr je, že každý nástroj si volí SID po svém. Ty jen musíš zajistit, aby nevznikaly kolize SIDů mezi uživateli a skupinami. To nejlíp uděláš tak, že na správu uživatelů/skupin budeš používat jen nástroje, u kterých víš jak fungují, a víš že ve výsledku ke kolizi nedojde.

Při psaní vlastního nástroje bych stejně nedoporučil SID do LDAPu zapisovat přímo. Protože do toho LDAPu musíš kvůli Smambě zapsat mnohem víc věcí, a se změnou verze Samby se požadované atributy občas mění. Takže je lepší se spolehnou na Samba nástroje, které budou fungovat určitě.