
Я установил сервер Samba (3.4.0, Ubuntu) со средой ldapsam, и внезапно вошедший в систему пользователь автоматически добавляется в группы 10002, 10003 и 10005. Это плохо, так как, между прочим, эти GID используются другими пользователями (по умолчанию у нас uid=gid), и поэтому эти пользователи могут видеть неправильные каталоги и т. д.
Samba 3.0.33 этого не делала.
После долгой отладки я обнаружил, что это соответствует:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
Вероятно, они соответствуют: «Все» и «Сетевые исключения» (???)
И я не могу найти значение SID для 10005, возможно, его можно найти с помощью gdb...
Есть ли способ хотя бы переназначить эти значения на что-то безвредное? Лучшим способом было бы вообще не позволять пользователю иметь эти группы.
решение1
После нескольких часов попыток найти решение я нашел его. Хотя я использую ldap backend, idmap все еще там для некоторых групп 'samba'. Когда вы впервые запускаете samba, она берет диапазон idmap gid и начинает добавлять свои собственные группы.
Есть 2 способа исправить это:
- Отредактируйте /var/lib/samba/winbindd_idmap.tdb с помощью tdbtool и измените GID на нужные вам.
- Остановите winbind, отредактируйте диапазон gid idmap в smb.conf так, чтобы он начинался с gids, где вы хотите разместить новые groupos, удалите /var/lib/samba/winbindd_idmap.tdb, перезапустите samba.