我已經使用ldapsam 環境安裝了samba 伺服器(3.4.0,Ubuntu),突然一個登入使用者被自動加入到群組10002、10003 和10005 中。 uid) =gid),因此這些使用者可以在錯誤的目錄等中看到。
samba 3.0.33 沒有這樣做。
經過大量調試後我發現這對應於:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
這些可能對應於:「每個人」和「網路擺脫」(???)
我找不到 10005 的 SID 值,可能可以用 gdb 找到它...
有沒有辦法至少將這些值重新映射到無害的東西?最好的方法是根本不讓使用者擁有這些群組。
答案1
經過幾個小時的嘗試找到它,我找到了解決方案。儘管我使用 ldap 後端,但某些「samba」群組的 idmap 仍然存在。當您第一次啟動 samba 時,它會取得 idmap gid 範圍並開始新增它自己的群組。
有 2 種方法可以修復它:
- 使用 tdbtool 編輯 /var/lib/samba/winbindd_idmap.tdb 並將 GID 變更為您想要的
- 停止 winbind,編輯 smb.conf 中的 idmap gid 範圍,使其從您想要新群組的 gid 開始,刪除 /var/lib/samba/winbindd_idmap.tdb,重新啟動 samba。