Configurazione Samba come Active Directory
Configurazione Samba come Active Directory
Presento la mia prima domanda:
Ho la necessità di far diventare un utente (in questo caso l'utente test) amministratore di un pc ma non amministratore di dominio.
Ho pensato... e che problema c'è... lo aggiungo al gruppo "Administrators" così diventa amministratore ma non ha i permessi di aggiungere utenti al dominio...
Invece non funziona, diventa membro di Administrators ma non ha capacità amministrative.
Come devo fare?
Grazie anticipatamente
Re: [Samba AD] Configurazione Samba come Active Directory
Devo modificare il primary group dell'utente con:
Codice: Seleziona tutto
pdbedit -r -G "Administrators" -u test
Codice: Seleziona tutto
Unix username: test
NT username:
Account Flags: [U ]
User SID: S-1-5-21-688127578-3269272571-3569419360-1111
Primary Group SID: S-1-5-21-688127578-3269272571-3569419360-513
Full Name:
Home Directory:
HomeDir Drive: (null)
Logon Script:
Profile Path:
Domain:
Account desc:
Workstations:
Munged dial:
Logon time: sab, 30 apr 2016 21:14:53 CEST
Logoff time: 0
Kickoff time: gio, 14 set 30828 04:48:05 CEST
Password last set: sab, 30 apr 2016 19:39:17 CEST
Password can change: sab, 30 apr 2016 19:39:17 CEST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Perchè sul database ldap non lo fa vedere cambiato?
Inoltre, anche se ho settato come gruppo primario Administrators, continua ad avere permessi di dominio, come posso toglierli?
Grazie
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: [Samba AD] Configurazione Samba come Active Directory
ci ho provato anch'io attraverso le GPO ( é la maniera corretta di farlo) , ma purtroppo un utente del grupo Builtin-Administrator sará per forza anche un utente admin del dominio.
Non abbiamo scampo
Re: [Samba AD] Configurazione Samba come Active Directory
Impossibile... il mio ex datore di lavoro c'era riuscito: ero amministratore di macchina ma non di dominio...fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4877878#p4877878][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:impossibile.
ci ho provato anch'io attraverso le GPO ( é la maniera corretta di farlo) , ma purtroppo un utente del grupo Builtin-Administrator sará per forza anche un utente admin del dominio.
Non abbiamo scampo
Riguardo invece il discorso che su ldap il gruppo principale non cambia, c'è un modo per risolvere?
Grazie mille
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: [Samba AD] Configurazione Samba come Active Directory
Re: [Samba AD] Configurazione Samba come Active Directory
ci sto provando, ma sono giorni che non mi risponde.fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4877894#p4877894][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:allora fatti dire come ha fatto cosí impariamo perche io mi sono rotto la testa giorni senza riuscirci e cercando in internet non ho trovato nulla
Almeno sai dove sto sbagliando nel cambiare gruppo primario? perchè non aggiorna il campo ldap?
Grazie
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: [Samba AD] Configurazione Samba come Active Directory
Codice: Seleziona tutto
ldbedit -H /var/lib/samba/private/sam.ldb -b CN=Users,DC=example,DC=com samaccountname=myuser
Re: [Samba AD] Configurazione Samba come Active Directory
Mi manca un pezzo... dove scrivo il nuovo gruppo?fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4877906#p4877906][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:cambialo con i tool di samba o con
sostituisci myuser e example com con i dati corettiCodice: Seleziona tutto
ldbedit -H /var/lib/samba/private/sam.ldb -b CN=Users,DC=example,DC=com samaccountname=myuser
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: [Samba AD] Configurazione Samba come Active Directory
Re: [Samba AD] Configurazione Samba come Active Directory
oddio... non c'è modo di farlo completamente da riga di comando, senza dover inserire i dati?fieraf [url=http://forum.ubuntu-it.org/viewtopic.php?p=4877910#p4877910][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:ti si aprira il file dell'utente per modificare i paramerti
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: [Samba AD] Configurazione Samba come Active Directory
uso rare volte
Re: Configurazione Samba come Active Directory
Invece ho un'altro problema...
ieri facendo alcune prove di condivisione, ho cancellato accidentalmente il gruppo sambashare, ed adesso le condivisioni mi danno accesso negato (le vedo ma non posso accederci).
Almeno, prima di cancellare il gruppo, potevo accedere in lettura (anche se non potevo ne scrivere ne eseguire).
Inoltre non mi funzionava lo script di logon.
Quindi, come posso risolvere il problema del gruppo senza formattare e reinstallare tutto da zero?
Come si fa a far funzionare lo script di logon?
Come devo fare per permettere agli utenti di modificare i file a cui hanno accesso?
Posto il mio nuovo file smb.conf:
Codice: Seleziona tutto
# Global parameters
[global]
server string = Server Secondaria Nervesa
workgroup = SECNERVESA
realm = SEC.NERVESA
netbios name = SERVER
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
allow dns updates = nonsecure and secure
idmap config *:backend = tdb
idmap config *:range = 5000-9999
idmap config SECNERVESA:backend = ad
idmap config SECNERVESA:schema_mode = rfc2307
idmap config SECNERVESA:range = 10000-29999
bind interfaces only = True
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
interfaces = lo eth0
log file = /var/log/samba.log
log level = 1
winbind nss info = rfc2307
logon script = %U.bat
logon path = \\SERVER\netlogon
[netlogon]
path = /data/shares/logon
read only = yes
public = yes
browsable = yes
valid users = %U
[sysvol]
path = /var/lib/samba/sysvol
read only = yes
public = yes
writeable = no
browsable = no
guest ok = no
[home]
path = /data/shares/%U
valid users = %U
browseable = yes
writable = yes
[docenti]
valid users = @Docenti
public = no
writeable = yes
browseable = yes
guest ok = no
path = /data/shares/docenti
[classi]
valid users = @Classi @Docenti
public = no
writeable = yes
browseable = yes
guest ok = no
path = /data/shares/classi
[admins]
valid users = @Administrators
public = no
writeable = yes
browseable = yes
guest ok = no
path = /data/shares/classi
# create mode = 0664
# directory mode = 0664
[system]
public = yes
writeable = no
browseable = yes
guest ok = no
path = /data/shares/system
Grazie mille
Re: Configurazione Samba come Active Directory
La soluzione era semplice: non c'erano i giusti permessi sulle directory.
Ho risolto con un "chmod -R 0777 /data/shares", adesso funziona tutto correttamente.
posto quì il mio smb.conf:
Codice: Seleziona tutto
# Global parameters
[global]
server string = Server Secondaria Nervesa
workgroup = SECNERVESA
realm = SEC.NERVESA
netbios name = SERVER
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
allow dns updates = nonsecure and secure
idmap config *:backend = tdb
idmap config *:range = 5000-9999
idmap config SECNERVESA:backend = ad
idmap config SECNERVESA:schema_mode = rfc2307
idmap config SECNERVESA:range = 10000-29999
bind interfaces only = True
interfaces = lo eth0
log file = /var/log/samba.log
log level = 1
winbind nss info = rfc2307
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
load printers = No
printcap name = /dev/null
disable spoolss = yes
logon script = %U.bat
logon path = \\SERVER\netlogon
[netlogon]
path = /data/shares/logon
read only = yes
public = no
browsable = yes
valid users = %U
[sysvol]
#path = /var/lib/samba/sysvol
path = /data/shares/sysvol
read only = No
public = no
browseable = yes
force user = root
force group = root
create mask = 0777
directory mask = 0777
valid users = "@Domain Admins"
[home]
path = /data/shares/%U
public = no
valid users = %U
browseable = yes
writable = yes
force user = root
force group = root
create mask = 0777
directory mask = 0777
[docenti]
path = /data/shares/docenti
valid users = @Docenti
public = no
writable = yes
browseable = yes
force user = root
force group = root
create mask = 0777
directory mask = 0777
[classi]
path = /data/shares/classi
valid users = @Classi @Docenti
public = no
writable = yes
browseable = yes
force user = root
force group = root
create mask = 0777
directory mask = 0777
[admins]
path = /data/shares/admins
valid users = @Administrators
public = no
writable = yes
browseable = yes
force user = root
force group = root
create mask = 0777
directory mask = 0777
[system]
path = /data/shares/system
valid users = %U
public = no
writable = no
browseable = yes
Allora, ho bisogno che all'accesso il pc esegua uno script.
Ho creato una group policy e funziona con Windows 7, ma xp non ne vuole sapere di avviare lo script.
Come fare?
Grazie
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: Configurazione Samba come Active Directory
punto 1
Codice: Seleziona tutto
workgroup = SECNERVESA
realm = SEC.NERVESA
punto 2
prima di tutto i permessi 777 assolutamenete da evitare su una share, peche vuol dire che tutti ma proprio tutti possono fare quello che vogliono sulla share
punto 3
il
Codice: Seleziona tutto
logon path
un esempio é :
Codice: Seleziona tutto
logon path = \\%L\profiles\%U
Codice: Seleziona tutto
[profiles]
comment = Users profiles
path = /samba/profiles
guest ok = no
browseable = no
read only = no
create mask = 0600
directory mask = 0700
puoi vedere tutti i parametri configuarti di samba con
Codice: Seleziona tutto
testparm -v
ti paso un file di esempio di un utente
Codice: Seleziona tutto
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'krb5' registered
GENSEC backend 'fake_gssapi_krb5' registered
# record 1
dn: CN=Manuela Romero Garcia,CN=Users,DC=test,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Manuela Romero Garcia
sn: Romero Garcia
givenName: Manuela
instanceType: 4
whenCreated: 20151202090946.0Z
displayName: Manuela Romero Garcia
uSNCreated: 3803
name: Manuela Romero Garcia
objectGUID: a387df28-19d5-4995-b9a2-28bbec1b8b46
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
primaryGroupID: 513
objectSid: S-1-5-21-954681507-3321088050-3645469735-1107
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: mromero
sAMAccountType: 805306368
userPrincipalName: mromero@test.local
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=test,DC=local
userAccountControl: 512
memberOf: CN=administracion,CN=Users,DC=test,DC=local
memberOf: CN=obras,CN=Users,DC=test,DC=local
msSFU30NisDomain: test
uidNumber: 10000
loginShell: /bin/false
unixHomeDirectory: /home/mromero
gidNumber: 20000
msSFU30Name: mromero
unixUserPassword: xxxxxxxxxxxxx
uid: mromero
scriptPath: mromero.cmd
pwdLastSet: 130969715020000000
lastLogonTimestamp: 131062258749759610
whenChanged: 20160427101754.0Z
uSNChanged: 5460
lastLogon: 131063077101065040
distinguishedName: CN=Manuela Romero Garcia,CN=Users,DC=test,DC=local
vedi se cosi ti funzionano gli script quando l'utente fa login
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: Configurazione Samba come Active Directory
Re: Configurazione Samba come Active Directory
giusto, ma ho specificato io il workgroup cosìfieraf ha scritto:non mi é chiaro. se il realm é SEC.NERVESA peche il workgroup NON É SEC.quando fai il provvisioning questo dovrebbe essere di default.
sono d'accordo, ma altrimenti non funziona... cosa dovrei mettere?fieraf ha scritto:prima di tutto i permessi 777 assolutamenete da evitare su una share, peche vuol dire che tutti ma proprio tutti possono fare quello che vogliono sulla share
non era mia intenzione, avevo letto la documentazione di smb.conf, e probabilmente mi sono confuso.fieraf ha scritto:il
Codice: Seleziona tutto
logon path
é dove si salvano i profili utenti quando attivi i roaming profiles, no dove mettere gli script di logon
un esempio é :
Codice: Seleziona tutto
logon path = \\%L\profiles\%U
quando setti il logon path dovresti creare una share [profiles]
Codice: Seleziona tutto
[profiles]
comment = Users profiles
path = /samba/profiles
guest ok = no
browseable = no
read only = no
create mask = 0600
directory mask = 0700
Su windows XP funziona, ma da vista in su, è necessaria una group policy (a quanto pare).fieraf ha scritto: domain logons = yes
almeno nella vecchia versione di samab era cosí, e nella nuova versione é disabilitato
Nuovo quesito... credo di aver capito (grazie anche all'aiuto del mio ex-capo) come risolvere il problema degli utenti administrators che hanno privilegi di amministrazione sul dominio.
è necessario fare un group mapping tra i gruppi built-in (unix) e i ntgroups:
Codice: Seleziona tutto
groupadd -g 544 binadms
groupadd -g 545 binusrs
groupadd -g 546 bingsts
Codice: Seleziona tutto
net groupmap add rid=544 unixgroup=binadms ntgroup="Administrators"
Codice: Seleziona tutto
adding entry for group Administrators failed!
Codice: Seleziona tutto
net groupmap list
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: Configurazione Samba come Active Directory
rileggi il mio ultimo post per vedere come é fatto un file di un utente e per vedere tra le altre cose il logon script
ti consiglio vivamente di prendere in considerazione rsat di Windows per gestire gli utentui e gruppi, perche altrimentei devi usare gli ldap tool
fai saepre come va
-
- Scoppiettante Seguace
- Messaggi: 630
- Iscrizione: martedì 18 novembre 2008, 9:52
- Distribuzione: Ubuntu 14.04.3 LTS
Re: Configurazione Samba come Active Directory
Re: Configurazione Samba come Active Directory
non mi è possibile usare rsat semplicemente perchè non sarò io a gestire il dominio... ma sarà una docente, e non voglio che abbia troppi privilegi...
sto costruendo una interfaccia web (tipo webmin o samba swat) per la gestione minimale del dominio.
mi sa che invece ci toccerà usarli ancora... perchè, sebbene samba abbia il proprio database degli utenti, a quanto pare gli utenti built-in li gestisce come utenti di dominio.fieraf ha scritto:questo dei mapgroup lo usavo anch'io con la vecchia versione di samba per gestire in Windows i gruppi Linux, ma adesso non é necesario avendo samba AD.
Voglio comunque fare una prova per vedere se si risolve... solo che non so come fare... attualmente ho installato rsat, mi basterebbe capire anche solo come fare group mapping da lì, giusto per vedere se la mia idea è corretta; se lo fosse, allora mi applicherei per fare tutto da riga di comando.
non è un problema usare ldbedit solo che, come ho spiegato in qualche post precedente, non cambia i sid (probabilemtne perchè non trova il gruppo Administrators).fieraf ha scritto:perche altrimentei devi usare gli ldap tool
Grazie ancora
Re: Configurazione Samba come Active Directory
sono ancora quì con lo stesso problema:
dare privilegi amministrativi locali agli utenti.
Riepilogo veloce per chi non volesse rileggersi tutta la pappardella:
Ho creato Active Directory Domain Controller con Samba su Ubuntu 12.04 LTS
Dopo averlo configurato, mi trovo con gli utenti che, sebbene aggiunti al gruppo Administrators, non ottengono privilegi amministrativi locali sulle macchine collegate al dominio.
Posso aggiungere l'utente al gruppo Domain Admins, ma così ottengono privilegi amministrativi di dominio, e questo sarebbe male.
Da RSAT, mi è possibile aggiungerli ai vari gruppi, ma quando tento di rimuovere il gruppo Domain Users, mi viene ritornato l'errore che, in poche parole, dice che non è possibile rimuoverlo perchè è il gruppo principale.
Come si risolve questo problema?
Grazie
Simone
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 6 ospiti