He instalado el servidor samba (3.4.0, Ubuntu) con el entorno ldapsam y de repente se agrega automáticamente un usuario registrado a los grupos 10002, 10003 y 10005. Esto es malo ya que, dicho sea de paso, otros usuarios usan estos gid (por defecto tenemos uid =gid) y por eso estos usuarios pueden ver en directorios incorrectos, etc.
samba 3.0.33 no hizo esto.
Después de mucha depuración descubrí que esto corresponde a:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
Probablemente correspondan a: "Todos" y "Deshacerse de la red" (???)
Y no puedo encontrar el valor SID para 10005, probablemente podría encontrarlo con gdb...
¿Hay alguna manera de al menos reasignar estos valores a algo inofensivo? La mejor manera sería no permitir que el usuario tenga estos grupos en absoluto.
Respuesta1
Después de varias horas intentando encontrarlo, encontré una solución. Aunque estoy usando el backend ldap, el idmap todavía está ahí para algunos grupos 'samba'. Cuando inicias samba por primera vez, toma el rango gid de idmap y comienza a agregar sus propios grupos.
Hay 2 formas de solucionarlo:
- Edite /var/lib/samba/winbindd_idmap.tdb con tdbtool y cambie los GID a los que desee
- Detenga winbind, edite el rango de gids de idmap en smb.conf para que comience en los gids donde desea los nuevos grupos, elimine /var/lib/samba/winbindd_idmap.tdb, reinicie samba.