AbcLinuxu:/ Poradna / Linuxová poradna / Samba+LDAP domena Win

Štítky: admin, práva, přihlášení

Dotaz: Samba+LDAP domena Win

23.1.2011 13:48 Vinc
Samba+LDAP domena Win

Přečteno: 491×

Odpovědět | Admin

Dobry den. Podle navodu tady na abc jsem si nykonfiguroval Sambu jako domenovy radic. Prihlaseni klienta s XP funguje bez problemu. Uzivatel nema Admin prava. Kdyz jsem mu je chtel pridat, na LDAPu jsem ho pridal do skupiny Domain Admins, uzivatele odhlasil/prihlasil, ale stale ty wokna pisou, ze neni admin. Jak overim, ze se ta zmena clenstvi uplatnuje?

Nástroje: Začni sledovat (0) ?

Odpovědi

23.1.2011 13:52 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Ked pridavate pocitac do domeny, tak na pozadi sa vykona operacia pridania clenstva pre lokalnu skupinu Administrators, do ktorej je zahrnuta skupina "DOMAIN\Domain Admins". Skontrolujte si na tej XP stanici, ci tomu tak naozaj je a teda ci skupina "DOMAIN\Domain Admins" je clenom skupiny "Administrators".

23.1.2011 14:04 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Ano, to je v poradku, uz jsem kontroloval. Nejsem si ale jisty, ze se mi nam ten uzivatel opravdu prida (do te domeny Domain Admins). Pouzivam sw Luma. Napr. centralni zmena hesla a funguje.

23.1.2011 14:13 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

podla akeho navodu ste tu domenu rozbehavali?

23.1.2011 14:22 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Podle tohoto.

23.1.2011 14:36 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Na overenie ci je dany user naozaj clenom skupiny, pouzite v linuxe prikaz:

id login

...prikaz vracia, login, primarnu skupinu a zoznam vsetkych skupin, ktorych je dany user clenom.

Dalej si overte spravne mapovanie skupin cez:

net groupmap list

23.1.2011 19:17 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

>> Na overenie ci je dany user naozaj clenom skupiny, pouzite v linuxe prikaz:
id login
...prikaz vracia, login, primarnu skupinu a zoznam vsetkych skupin, ktorych je dany user clenom.

Overeno, uzivatel je clenem Domain Admins

>>> Dalej si overte spravne mapovanie skupin cez:
net groupmap list

Na Lin serveru neba na XP stanici?

23.1.2011 19:55 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

net groupmap list
Na Lin serveru neba na XP stanici?

Na Lin serveri

23.1.2011 19:56 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Tak to je asi taky ok:

Domain Admins (S-1-5-21-1073939709-848672616-4147319597-512) -> Domain Admins
Domain Users (S-1-5-21-1073939709-848672616-4147319597-513) -> Domain Users
Domain Guests (S-1-5-21-1073939709-848672616-4147319597-514) -> Domain Guests
Domain Computers (S-1-5-21-1073939709-848672616-4147319597-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

23.1.2011 20:22 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

winbind na serveri mate zapnuty alebo nie? je mozne ze pri mapovani by mohol sposobovat problemy.

23.1.2011 20:34 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Ano mam.. mam zkusit vypnout?

23.1.2011 20:42 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Davnejsie som mal winbindd zapnuty na stroji, kde bezala samba ako PDC a boli s nim problemy. Uz si nespominam ake (bud mal user problem prihlasit sa, alebo sa domena tvarila pre win stanicu ako nedostupna,...), ale jej vypnutie vtedy pomohlo. winbind som vtedy potreboval kvoli sfunkcneniu ntlm autentifikacie pre radius server (cez ntlm_auth) za ucelom overovania userov na proxi serveri a cely tento cirkus som musel presunut na inu masinu (winbind beziaci na domain member stroji ide bezproblemovo). Avsak pokial winbind bezi, samba ho pouziva k mapovaniu objektov name -> sid a podobne co pri pouzivani samby v kombinacii s ldap serverom nieje dobre riesenie (mapovanie robi nss + smbd demon sam). preto ak nemate nejaky speci dovod kvoli ktoremu winbind musi bezat, tak ho spokojne vypnite.

Ak nepouzivate nscd (na cacheovanie), tak vypnutie winbindu postacuje, pripade este restart smbd demona.

24.1.2011 09:25 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Aha, takze na serveru mi bezi nscd .. bylo potreba restartovat. Mam ho na Lin stanicich kvuli kesovani hesel v pripade vypadku site. Vubec si ted nevybavim, jestli je potrebne i na serveru...

24.1.2011 11:08 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

na serveri by som ho nepouzival, moze sposobovat oneskorenie pri aktualizacii zaznamov, kedze sa pouziju vzdy tie, ktore su v cache pri ich dopyte. na klientoch v tom problem nevidim, tak nech si bezi.

24.1.2011 12:36 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

Dobre, diky. A ted resim jeste jeden problem. Jeden uzivatel je na stanicich ve skupine administrators, pritom v /etc/group neni a na serveru v LDAP take ne. Tak odkud to jeste taha informaci o skupine?

24.1.2011 15:30 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

A ten povodny problem sa uz podarilo vyriesit? Ze clen skupiny domain admins je aj administratorom na danom PCcku?

24.1.2011 17:19 Vinc
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

No ASI ano.. ted je to trosku opacne.. uzivatel je admin, i kdyz ho ze skupiny Domain Admins vyhodim (v lokalni skupine Administrators jiz ale neni).

25.1.2011 15:27 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba+LDAP domena Win

skusil by som odobrat/pridat pc do domeny. pripadne skuste pouzit usrmgr.exe (z windows 2000/xp/2003 resource kit) a cezen zistite priradenie pouzivatela do skupin, z ktoreho vychadza windows.

Založit nové vlákno • Nahoru

Tiskni Sdílej: