PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Benutzerrechte bei Samba? Wie kann ich Hauptbenutzer, Admin, ect. definieren?



tHaHooL
02.06.04, 17:59
Ich hab einen Samba 3 PDC unter SuSE 9.1 am laufen.
Es funktioniert soweit ganz gut, nur die Sache mit den Benutzerrechten hab ich noch nicht ganz kapiert.

In der smb.conf z. B. hab ich "root" als Admin eingetragen. Unter Windows hab ich dann auch die Rechte die Maschine in die Domäne aufzunehmen, aber ansonsten hab ich lokal nur eingeschränkte Werte.

Wie kann ich uneingeschränke (Domänen)Administrator Rechte bekommen?

Wie ist das mit den normalen Samba Benutzern? Ich hätte gerne, dass die alle Hauptbenutzerrechte bekommen, nur wo stell ich das ein?

:confused:

Danke!

emba
03.06.04, 15:34
bzgl. root/administrator accounts nutze bitte die sufu, denn das thema kommt hier öfters

zu den hauptbenutzergruppen:

unter linux hat jede gruppe die gleichen capabilities (außer root)
d.h. es wird zunächst nicht zwischen poweruser und user unterschieden

windows macht das hingegen schon, wie du bereits erfahren hast
lege unter linux eine gruppe an ("Hauptbenutzer") und füge dort die user hinzu, die dieser angehören sollen

für windows wirkt der user nun wie ein mitglied der gruppe

DOMÄNE\Hauptbenutzer

AFAIK hat die gruppe poweruser eine spz. SID [1] -> die entsprechende SID-GID musst du der gruppe also geben (stichwort wellknown SIDs)

greez


[1]
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q243/3/30.ASP&NoWebContent=1

tHaHooL
03.06.04, 17:41
Danke für die Antwort!
Ich werds mal probieren!

Wg. Der SuFU:
Die hab ich benutzt und das einzige was ich gefunden habe waren die selben Fragen wie ich ... nur ohne Antworten/ Lösungen.

tHaHooL
04.06.04, 19:26
I habs nicht hinbekommen :(

Und mit der SuFu hab ich auch nix gefunden. Vielleicht wärst du so nett und schreibst mir kurz wie das geht, dass auch die User Administratorrechte haben, dann kann ich wenigstens mal was installieren...

Danke!

mamue
05.06.04, 08:52
sorry, aber es steht am besten beschrieben im samba-guide und im samba-howto. Dieser Bereich ist anfangs ein bisschen kniffelig. Das "net" Kommando hilft Dir, sofern kein LDAP verwendet wird.
Schau mal unter dem Stichwort group-mapping.

mamue

tHaHooL
05.06.04, 10:24
Ok, ich hab jetzt

net groupmap modify ntgroup="Domain Admins" unixgroup "users"

ausgeführt und ein

net groupmap list zeigt mir dies auch an:

...
Domain Admins (S-1-5-21-.........-512) -> users
...

Aber leider führt das immer noch nicht zum Erfolg. Samba hab ich auch neu gestartet. Was hat es mit der SID - GID auf sich?

GID = Group ID ?
SID = ...

???

Muss ich die Benutzer ID von meinem lokalen Useraccount noch ändern? Der steht derzeit auf 1006.

mamue
05.06.04, 12:50
Du solltest jetzt unter Windows zumindest schon mal die Gruppe sehen können, etwa bei den Sicherheitseinstellungen.
User, die in dieser Gruppe sein sollen, müssen entweder Mitglied in dieser UNIX Gruppe sein, oder gar diese (hier ...-512) als sambaGID(?) zugeweisen bekommen.

mamue

tHaHooL
05.06.04, 13:10
Ja, unter Windows kann ich z. B. die Gruppe \domain01\Domain Admins sehen, die er auch immer wieder schön anlegt wenn ich sie lösche...

Trotzdem bin ich noch sehr eingeschränkt :confused:
In der smb.conf muss ich das ja nicht nochmal extra erwähnen, wenn ich schon in der Gruppe drin bin, oder?

Stormbringer
05.06.04, 14:40
Nimm dann doch den User for Domains von MS.
Der legt auch alle anderen MS-konformen Gruppen an.
http://support.microsoft.com/default.aspx?scid=kb;en-us;173673

Gruß

tHaHooL
05.06.04, 16:29
Auf die Idee bin ich auch schon gekommen. Funktioniert das denn?
Hast du damit schon erfolgreich neue Benutzer anlegen können, bzw. bestehende anderen Gruppen zuweisen können?

Ich bekomme immer Fehlermeldungen. Wenn ich z. B. dem Domänenbenutzer "fw" welcher laut Groups "Member of Domain Users" ist, in die Gruppe "Domain Admins" mit aufnehmen will, dann kommt die Meldung:

"The following error occurred changing the proberties of the user fw:
Der Benutzer gehört bereits zu dieser Gruppe."


Wenn ich andererseits in die Gruppe "Domain Admins" schaue, dann stehen dort alle User drin.

emba
06.06.04, 19:24
AFAIK ist es so, dass domänenadmins auch lokal an der maschine adminrechte haben

ist root also mitglied der gruppe "Domain Admins", so muss er definitiv (wenn meine annahme oben stimmt) lokal adminrechte haben (bei meinem PDC ist das so -> root ist mitglied der SID xxx-512)

zu den hauptbenutzern:

sollen sie lokal hauptbenutzer werden oder in der domain?


oder gar diese (hier ...-512) als sambaGID(?) zugeweisen bekommen.
es heißt glaub ich sambaPrimaryGroupSID (sitze grad nicht am PDC)
achtung: 512 = domain admins

greez

tHaHooL
07.06.04, 06:23
Ja, Domänen Admins haben auch lokale Admin Rechte.
In die 512er Gruppe hab ich die entsprechenden User schon mal gesteckt, aber sie hatten trotzdem nur normale Userrechte...

Mein Samba läuft so schön, aber dieses Admin/ Hauptbenutzerproblem trübt das ganze schon ein wenig. Ich hab am Wochenende eine -komplett funktionsfähige Domäne- nur deswegen nicht in Betrieb nehmen können :(

Da geht z. B. nicht mal Office, da es ja bei jedem Benutzer noch einen Teil nachinstalliert und hierfür schon die Rechte fehlen...

emba
07.06.04, 12:28
In die 512er Gruppe hab ich die entsprechenden User schon mal gesteckt,

wie denn? (ldif posten)

wenn du den usrmgr.exe für domänen von MS nutzt, kannst du auch sehen, ob die user wirklich gruppe der domänen-admins sind

greez

emba
08.06.04, 08:08
lies mal bitte hier
http://de.samba.org/samba/docs/man/howto/groupmapping.html

ich habe es exakt so gemacht und es funzt

tHaHooL
08.06.04, 09:35
Danke, ich werds dann auch so machen!
Ich berichte dann wies mir ergangen ist....
(komme aber erst am WE dazu).

tHaHooL
09.06.04, 22:25
Da ich genau nach der Anleitung vorgegangen bin, hab ich aus versehen eine zweite Gruppe "Domain Admins" angelegt, allerdings nicht mit der benötigten RID 512.

Hier mal die Ausgabe bei einem List:

server01:~ # net groupmap list
[2004/06/09 22:31:44, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "prefered domain"
[2004/06/09 22:31:44, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "prefered domain"
[2004/06/09 22:31:44, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "domain admin users"
[2004/06/09 22:31:44, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "domain admin users"
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-2049992292-391927338-2099212325-512) -> -1
Domain Guests (S-1-5-21-2049992292-391927338-2099212325-514) -> -1
Domain Users (S-1-5-21-2049992292-391927338-2099212325-513) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Admins (S-1-5-21-2049992292-391927338-2099212325-2005) -> domainadmins
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
server01:~ #

Keine Ahnung woher die oberen Fehlermeldungen kommen :(

Mich würde jetzt als erstes mal interessieren wie ich diese zweite Gruppe "Doman Admins" mit der RID 2005 wieder wegbekomme?

Anscheinend wills nicht so recht:
server01:~ # net groupmap delete ntgroup="Domain Admins" unixgroup=domainadmins
[2004/06/09 22:51:09, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "preferred domain"
[2004/06/09 22:51:09, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "preferred domain"
[2004/06/09 22:51:09, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "domain admin users"
[2004/06/09 22:51:09, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "domain admin users"
[2004/06/09 22:51:09, 0] param/params.c:Section(272)
params.c:Section() - Badly formed line in configuration file: path = /home/samba_users/profiles
[2004/06/09 22:51:09, 0] param/params.c:pm_process(592)
params.c:pm_process() - Failed. Error returned from params.c:parse().
Bad option: unixgroup=domainadmins
server01:~ #


hmm...

meine smb.conf sieht übrigens so aus:



[global]
workgroup = DOMAIN01
security = domain
encrypt passwords = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
server string = SERVER
netbios name = server01
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = yes
local master = yes
preferred master = true
# ldap suffix = dc=example,dc=com
domain master = yes
preferred domain = yes
os level = 65
browseable = no
public = no
writeable = no
guest ok = no
nt acl support = yes
log file = /var/log.%m



# LogOn Einstellungen f?ºr Windowsclients
logon drive = H:
logon path = \\%L\profiles\%u


logon script = logon.bat

# Admins f?ºr Samba PDC
domain admin users = root, stuffer


# Performance Einstellungen
short preserve case = yes
max log size = 5000
case sensitive = no
default case = lower
mangle case = no
dead time = 15
read raw = yes
write raw = yes
socket options = TCP_NODELAY
oplocks = yes
fake oplocks = no
debug level = 2
preserve case = yes
passdb backend = smbpasswd













[homes]
path = /home/samba_users/%u
comment = Home Directories
browseable = no
valid users = %S
read only = no
locking = no
oplocks = no

[netlogon]
path = /home/netlogon
browseable = no
writeable = yes
comment = NetLogON
guest ok = no
printable = no

[profiles]
path = /home/samba_users/profiles
browseable = yes
writeable = yes
comment = Benutzerprofile



[allgemein]
path = /home/samba_daten/allgemein
browseable = no
writeable = yes
guest ok = no
public = no
comment = Allgemeiner Ordner
printable = no

[multimedia]
comment = Multimedia Laufwerk
path = /home/samba_daten/multimedia
read only = yes
public = no
guest ok = no
browseable = no

[data]
comment = alle Daten
path = /home/samba_daten
browseable = no
writeable = yes
guest ok = no
public = no
printable = no
valid users = root, stuffer

emba
10.06.04, 09:13
der parameter prefered master muss erstmal raus - er ist ungültig

zum mapping:

net groupmap delete ntgroup="gruppe"

klappt 1a

deine anderen mappings sind auch fehlerhaft (-1)

greez

tHaHooL
10.06.04, 10:21
prefered master ist draussen.

Nur die Gruppe will sich nicht löschen lassen:



erver01:/etc/samba # net groupmap delete ntgroup="Domain Admins"
[2004/06/10 10:50:29, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "preferred domain"
[2004/06/10 10:50:29, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "preferred domain"
[2004/06/10 10:50:29, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "domain admin users"
[2004/06/10 10:50:29, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "domain admin users"
Sucessfully removed Domain Admins from the mapping db
server01:/etc/samba #


Hier ein aschliessendes list



server01:/etc/samba # net groupmap list
[2004/06/10 10:51:22, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "preferred domain"
[2004/06/10 10:51:22, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "preferred domain"
[2004/06/10 10:51:22, 0] param/loadparm.c:map_parameter(2421)
Unknown parameter encountered: "domain admin users"
[2004/06/10 10:51:22, 0] param/loadparm.c:lp_do_parameter(3059)
Ignoring unknown parameter "domain admin users"
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-2049992292-391927338-2099212325-512) -> -1
Domain Guests (S-1-5-21-2049992292-391927338-2099212325-514) -> -1
Domain Users (S-1-5-21-2049992292-391927338-2099212325-513) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Domain Admins (S-1-5-21-2049992292-391927338-2099212325-2005) -> domainadmins
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
server01:/etc/samba #


Kann es sein, dass der delete Befehl nicht funktioniert, da es ja 2 mal die Gruppe "Domain Admins" gibt?
net groupmap cleanup hab ich auch schon versucht.

Was bedeutet eigentlich das (-1) hinter den Gruppen? Ich hab mal vo anders einen Samba installiert (allerding ohne Gruppenverwaltung), der hat das gleiche angezeigt...

emba
10.06.04, 13:03
sorry,

ich meinte oben nicht prefered master sondern prefered domain ;)
bitte korrigier das

-1 bedeutet, dass die WinGroup nicht gemapt werden kann -> ergo fehlerhaft

du kannst beim net groupmap delete auch eine SID angeben anstatt der ntgroup

probier das mal

greez

tHaHooL
10.06.04, 13:26
Danke, da bin ich mittlerweile selber drauf gekommen mit der SID, das hat auch funktioniert!

preferred master, preferred domain & domain admins hab ich aus der smb.conf gekommen.

Nun sieht das ganze so aus:


server01:/etc/samba # net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-2049992292-391927338-2099212325-512) -> ntadmins
Domain Guests (S-1-5-21-2049992292-391927338-2099212325-514) -> -1
Domain Users (S-1-5-21-2049992292-391927338-2099212325-513) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
server01:/etc/samba #


Die -1 Fehlermeldungen sind zwar noch da, aber zumindest sollte der Admin Account funktionieren, oder?
kurzer Test und - JA, ES FUNKTIONIERT, nun bin ich Domänen Admin!

Aber was noch nicht funktioniert ist der User Manager for Domains von Microsoft. Er zeigt mir zwar alle Benuter an und auch die Gruppe "Domain Admins", aber ich kann keine Eigenschaften von den Benutzern oder der Gruppe sehen.
Da kommt immer

"The following error occurred a ccessing the properties of the user sowieso:

Zugriff verweigert

The user properties cannot be edited or viewed at this time.


Übrigens noch was:
Wenn ich einen Hauptbenutzer, bzw. "Poweruser" anlegen will, dann muss ich ja lokal dafür auch eine Gruppe erstellen, ist klar.
Aber welche ID muss diese bekommen? Oder ist das egal?

Bei meiner Admin group sieht der Eintrag in der group so aus:

ntadmin:x:502:user1, user2, usw...

Hier hab ich also die "502". Wie ist das eben bei Powerusern?

emba
10.06.04, 13:48
für den usrmgr.exe brauchst du root-rechte -> uid=0, ansonsten geht das nicht

power users sind keine domänen gruppen sondern lokale gruppen für die clients
in domänen gibt es keine power user group [1]

greez

[1]
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/distrib/dsfe_sid_YOKV.asp

tHaHooL
10.06.04, 14:00
Ahh... als root gehts! Danke!

Ich bräuchte eine Domänen Gruppe die Hauptbenutzerrechte haben. Meine Sambauser sollen an Ihren Windowsrechnern auch selber Programme installieren dürfen.
Wenn Du mir das noch sagen kannst wär ich rundum zufrieden, dann läuft mein PDC nämlich so wie er soll :)

emba
10.06.04, 23:19
entweder du räumst deinen sambabenutzern auf jedem client per einmaligem script (loginscript) das recht ein, dies zu tun (via group policies), oder du versuchst es, indem du auf deinem samba rechner ein mapping für die hauptbenutzer erstellst (die SID der power users steht in meinem link oben)

bspw. eine gruppe "software" anlegen (UNIX) und die auf die SID der power users mappen und in "software" mal ein paar user stecken (prüfen mit id "user")

greez

tHaHooL
11.06.04, 13:30
Ok, ich hab ihnen jetzt vorerst mal Adminrechte gegeben.
Werd aber deinen Vorschlag auch mal ausprobieren!