Samba: в LDAP добавлены странные GID
Я установил сервер samba (3.4.0, Ubuntu) со средой ldapsam, и внезапно зарегистрированный пользователь автоматически добавляется в группы 10002, 10003 и 10005. Это плохо, так как случайно эти gid используются другими пользователями (по умолчанию у нас есть uid=gid) и поэтому эти пользователи могут видеть в неправильных каталогах и т. д.
Самба 3.0.33 этого не делала.
После долгих отладок я обнаружил, что это соответствует:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
Они, вероятно, соответствуют: "Все" и "Сетевые диски" (???)
И я не могу найти значение SID для 10005, возможно, может найти его с помощью GDB...
Есть ли способ хотя бы переназначить эти значения во что-нибудь безобидное? Наилучшим способом было бы не позволить пользователю иметь эти группы вообще.
1 ответ
После нескольких часов попыток найти его я нашел решение. Хотя я использую бэкэнд ldap, idmap все еще существует для некоторых групп 'samba'. Когда вы впервые запускаете samba, он берет диапазон gid idmap и начинает добавлять свои собственные группы.
Есть 2 способа это исправить:
- Отредактируйте /var/lib/samba/winbindd_idmap.tdb с помощью tdbtool и измените GID на те, которые вы хотите
- Остановите winbind, отредактируйте диапазон gid idmap в smb.conf так, чтобы он начинался с gids, где вы хотите новые группы, удалите /var/lib/samba/winbindd_idmap.tdb, перезапустите samba.