Ich habe den Samba-Server (3.4.0, Ubuntu) mit einer LDAPSam-Umgebung installiert und plötzlich wird ein angemeldeter Benutzer automatisch zu den Gruppen 10002, 10003 und 10005 hinzugefügt. Das ist schlecht, da diese GIDs zufällig von anderen Benutzern verwendet werden (standardmäßig haben wir uid=gid) und diese Benutzer daher falsche Verzeichnisse usw. sehen können.
Samba 3.0.33 hat dies nicht getan.
Nach einer ganzen Menge Debugging habe ich herausgefunden, dass dies folgendem entspricht:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
Diese entsprechen wahrscheinlich: „Jeder“ und „Netzwerk-Rides“ (???)
Und ich kann den SID-Wert für 10005 nicht finden, könnte ihn wahrscheinlich mit gdb finden ...
Gibt es eine Möglichkeit, diese Werte zumindest auf etwas Harmloses umzuordnen? Am besten wäre es, dem Benutzer diese Gruppen überhaupt nicht zu erlauben.
Antwort1
Nach mehreren Stunden des Suchens habe ich eine Lösung gefunden. Obwohl ich das LDAP-Backend verwende, ist die IDMAP für einige „Samba“-Gruppen immer noch vorhanden. Wenn Sie Samba zum ersten Mal starten, übernimmt es den IDMAP-GID-Bereich und beginnt, seine eigenen Gruppen hinzuzufügen.
Es gibt zwei Möglichkeiten, das Problem zu beheben:
- Bearbeiten Sie /var/lib/samba/winbindd_idmap.tdb mit tdbtool und ändern Sie die GIDs in die gewünschten
- Stoppen Sie Winbind, bearbeiten Sie den IDMAP-GID-Bereich in smb.conf, sodass er bei den GIDs beginnt, wo Sie die neuen Groupos haben möchten, entfernen Sie /var/lib/samba/winbindd_idmap.tdb und starten Sie Samba neu.