LINUX.ORG.RU

Security Release - Samba 2.2.7


0

0

Релиз содержит исправления безопасности и не включает в себя ничего нового за исключением некоторых улучшений кода. По заявлению Samba Team им неизвестны случаи использования обнаруженных "дыр" (версии от 2.2.2 до 2.2.6). Тем не менее всем рекомендуется обновиться.
Загрузить http://us3.samba.org/samba/ftp/samba-...

>>> Подробности

А не поделится кто методологией организации PDC на самбе 2.2.x? Учитывая, что группы с PDC не отдаются. Как раздавать права на рабчих станциях юзерам? :-)

anonymous
()

В папке docs из тарбола с сырцами есть хороший документ Samba-PDC-HOWTO.html

anonymous
()

Ну, а почему не попробовать samba-tng? Вроде бы, оно даже иногда работает :)

BaT ★★★★★
()
Ответ на: комментарий от anonymous


>В папке docs из тарбола с сырцами есть хороший документ >Samba-PDC-HOWTO.html

Меня интересует не настройка PDC, а организация домена,
т.е. раздача прав на рабочих станциях w2k

anonymous
()
Ответ на: комментарий от saper


>группы отдаются - только они юниксовые
В 2.2.х- нет. иначе я б не спрашивал

anonymous
()

Клиентов на двухтонниках ты не подключишь, глюки сплошные с профилями. Ну не знает Самба ничего о группах в домене, хоть ты тресни. :-)

mr_grind
()

Ну у меня работает 2.2.6 с юзерами от W98 до WinXP в домене. С тем же успехом в домен входят и пользователи с W2K. Профайлы грузятся с сервера. Принадлежность к группам определяется по принадлежности к unix'овым группам. А какая разница?
При логине исполняется *.bat из netlogon'а, также использую файл политик NTconfig.pol, который лежит в том же каталоге. Прекрасно работает. С назначением прав проблем не возникает.
А какие конкретно вопросы? smb.conf прислать?

PitStop
() автор топика
Ответ на: комментарий от PitStop

Конкретно вопрос. Я хочу чтобы при добавлении шары в винде в списке юзеров можно было выбирать и список групп. Давай посмотрим твой smb.conf как ты такое там изобразил ;)

SandySandy
()

да отдаются группы приспокойненько... может конечно это потому что у меня samba+pdc+ldap... (?) но проводить эксперимент без ldap'a лениво.

GPF
()
Ответ на: комментарий от mr_grind


>Клиентов на двухтонниках ты не подключишь, глюки сплошные с >профилями

Ну пачиму же.
Вроде бы работает :-)

anonymous
()

to GPF.
Не знаешь, о чем речь - молчи.
Группы отдаются только Internal unix group (из /etc/group )
и только для шар, расположенных на самом SAMBA-сервере.

z2v
()
Ответ на: комментарий от GPF


>да отдаются группы приспокойненько...

Для тупых еще раз- 2.2.х _группы_ не отдает.

>может конечно это потому что у меня samba+pdc+ldap...

Какая, простите, связь ?
Вот ежели у тебя (т.е. не у тебя, а вашего админа) 3 ,
то да.

anonymous
()
Ответ на: комментарий от GPF


>да отдаются группы приспокойненько...

Для тупых еще раз- 2.2.х _группы_ не отдает.

>может конечно это потому что у меня samba+pdc+ldap...

Какая, простите, связь ?
Вот ежели у тебя (т.е. не у тебя, а вашего админа) 3 ,
то да.

anonymous
()
Ответ на: комментарий от BaT


>Ну, а почему не попробовать samba-tng? Вроде бы, оно даже иногда >работает :)

Ну вот именно потому, что иногда

anonymous
()

2 SandySandy (*) (2002-11-22 10:39:14.78)

Если в smb.conf поставить hide local users = no, то группы домена увидеть можно. Однако, при добавлении группы в список доступа возникает ошибка. Что-то типа "не удается найти имена пользователей для показа". Может чего еще крутить надо, но мне это как-то не нужно было, да и ИМХО надо LDAP лучше ставить. Хотя, конечно, было бы неплохо, если бы это работало. Согласен.

PitStop
() автор топика

Дык
hide local users = no - стоит по умолчанию.

z2v
()

а теперь по порядку: to z2v: у меня группы отдаются не из /etc/group а из ldap'a и они у меня отдаются, при создании новой шары на виндах (w2k) группы (Domain Users, Domain Admins.....) имеются

анонимусу: читай выше. самба 2.2.6. и я сам себе админ.

так что вы оба молчите. ведь вы не делали pdc+ldap ? так ведь? я знаю о чем я говорю. повторюсь - группы отдаются везде и на шарах клиентов домена и на шарах контроллеров домена.

Скриншот сделать ? =))

GPF
()

2 GPF (*) (2002-11-22 15:04:43.477)
> Скриншот сделать ? =))
Сделай. Хоть мне это пока и не надо, но глянуть интересно! :)
И скажи какой докой пользовался при настройке.

PitStop
() автор топика

пожалуста... http://www.simm.ru/files/sss.gif

предвидя ехидность - в закладке "доступ"->"разрешения" абсолютно тоже самое.... или опять надо скрин?

GPF
()

пожалуста... http://www.simm.ru/files/sss.gif

предвидя ехидность - в закладке "доступ"->"разрешения" абсолютно тоже самое.... или опять надо скрин?

GPF
()

Стоп. Никакой ехидности. Мне действительно интересно.
Однако, где же группы? Ну, там managers, buhgalters ... ? Покажи. Так хочется посмотреть!

PitStop
() автор топика

пилять.... опять скрин? "domain users" типа не группа? ну есть они, ЕСТЬ!!!!! идти на машинку с w2k и опять отвлекать человека от работы мне не хочется.

GPF
()

GPF, скриншот не считается, потому что поддержка групп Domain Admins и Domain Users в samba 2.2.x это как бы грязный хак. ;) все прочие группы ldap'ом могут отдаваться, но права раздавать по ним можно лишь на samba-серверах.

anonymous
()

ладно... пусть так и будет. я не имею желания и времени комуто чтото доказывать. теб более что это не соотносится с топиком.

GPF
()

Вопрос не совсем по теме, но может кто подскажет, где deb этой самбы найти, а то самому лень собирать 8)

syomin
()
Ответ на: комментарий от GPF


>группы (Domain Users, Domain Admins.....) имеются

Гы-гы.
Кто пустил сюда детей? :-/

anonymous
()

to GPF.
Значит, так. У меня самба с версии 2.2.хх - не помню уже с какой
версии стоит в связке с LDAP. С каждым новым релизом я все (безуспешно)
жду, когда же можно будет формировать группы пользователей. Не "встроенные", хакнутые Domain Users, Domain Admins, а нормальные, заведенные именно из LDAP. Так вот, ежели чего, так в Samba+LDAP ессть objrctClass SambaAccount, но нет SambaGroup. Однозначно.
Есть PosixAccount, PosixGroup, но это не для Samba, это работает только для unix. Вот тут да. Тут можно развернуться, и в файлике /etc/passwd не хранить ни одного стандартного user'a.

Но Samba НЕ УМЕЕТ(!!!!) отдавать группы пользователей.
Да, и онанимусам - нехорошо из туалета ржать - не так поймут. :-)




z2v
()
Ответ на: комментарий от z2v


>Да, и онанимусам - нехорошо из туалета ржать - не так поймут. :-)

К сожалению, я не настолько богат, чтобы иметь компутер еще и в сортире ;-(

anonymous
()

Да жаль конечно, что samba пока группы не отдаёт (исключая встоенные конечно). Группы к версии 3.0 обещали сделать ;-)

anonymous
()

P.S. ВСТРОЕННЫЕ (очепяточка вышла)

anonymous
()

За 2.2.х не скажу, а в 3.х-alpha есть такая буква как
/$smb_home/bin/smbgroupedit - вот туда и нужно смотреть.
На клиентах NT-XP все работает, а вот на w9x - проблемы
с получением списка пользователей, которые мне не
удалось победить. PDC+1BDC, 2500 users.

--
Dm.

anonymous
()

А в свете обсуждаемого. Кто как права пользователей раздает на самбовые шары?

PitStop
() автор топика
Ответ на: комментарий от PitStop


> Кто как права пользователей раздает на самбовые шары?
Лично я делаю setfacl :-)

anonymous
()
Ответ на: комментарий от anonymous


>На клиентах NT-XP все работает, а вот на w9x - проблемы
>с получением списка пользователей, которые мне не
>удалось победить. PDC+1BDC, 2500 users.

Ы как :-(
А у нас на 2.2.х этак с 2.2.4 начиная список усеров таки отдается
на win9x
Правда их всего-то около 400

anonymous
()

>> Кто как права пользователей раздает на самбовые шары? > Лично я делаю setfacl :-)

Ну раз уж такая песня пошла, каким образом ты накладываешь несколько default групп на каталог... Напрмер Васе и Пете - читать и писать, Тане и Жене - только читать, ну т.д.

Пожалуйста пример smb.conf и как ты это через setfacl делаешь? Да, заметь, права должны сахранятся... Т.е. они должны быть как дефолт для этого каталога или файла...

anonymous
()
Ответ на: комментарий от anonymous


>Ну раз уж такая песня пошла, каким образом ты накладываешь >несколько default групп на каталог... Напрмер Васе и Пете - читать и >писать, Тане и Жене - только читать, ну т.д.

man setfacl

или
http://acl.bestbits.at

anonymous
()

Господа! Прочтите что такое nt acl support прежде чем вообще думать о группах и Самбе в частности.

anonymous
()

Ничтоже сумняшеся вношу свою лепту-читату из Samba-LDAP-HOWTO :

Accounts and Groups management

As users accounts are managed thru the sambaAccount objectclass, you should modify you existing administration tools to deal with sambaAccount attributes.

Machines accounts are managed with the sambaAccount objectclass, just like users accounts. However, it's up to you to stored thoses accounts in a different tree of you LDAP namespace: you should use "ou=Groups,dc=plainjoe,dc=org" to store groups and "ou=People,dc=plainjoe,dc=org" to store users. Just configure your NSS and PAM accordingly (usually, in the /etc/ldap.conf configuration file).

In Samba release 2.2.3, the group management system is based on posix groups. This meand that Samba make usage of the posixGroup objectclass. For now, there is no NT-like group system management (global and local groups).

Кто-нибудь пробовал вот-так причесать Samb'у ?

warpson
()
Ответ на: комментарий от anonymous


>Господа! Прочтите что такое nt acl support прежде чем вообще думать о >группах и Самбе в частности.

Вопрос о том, как правильно раздавать права на рабочих станциях
в домене задал я. А вот самба с acl на xfs у нас работает со времен 2.2.0beta.
И мапинг между posix acl и nt acl я вполне представляю.
А вот как раздать права на _рабочей_ станции- нет :-(

anonymous
()
Ответ на: комментарий от warpson


Кто-нибудь пробовал вот-так причесать Samb'у ?
Пробовал :-)
Все это довольно криво.
Поддержку ldap в 2.2 можно смело назвать экспериментальной...

anonymous
()
Ответ на: комментарий от anonymous


>Господа! Прочтите что такое nt acl support прежде чем вообще думать о >группах и Самбе в частности.

Кстати, я сразу и не понял :-)
nt acl support в самбе дает возможность менять acl на
fs с виндовой рабочей станции.
Не более того.
С w2k это делать неудобно, так как маппинг идет в acl nt4.
Посему повторяю- ман setfacl :-)

anonymous
()
Ответ на: комментарий от anonymous

anonymous (*) (2002-11-25 12:48:29.903)
Насчет списка юзеров:
Не знаю, я сначала с TNG экспериментировал - там та же проблема,
может в 3.х ветке это находится в аналогичном состоянии.
Насколько я понимаю самба девелоперов не волнует проблема
user-level security W9x, в майллистах так и пишут -
переключитесь в share-level и все у вас будет путем :(
На первый взгляд - проблема связана с ситуацией когда количество
юзеров переваливает за MAX_SAM_USERS...

--
Dm

anonymous
()
Ответ на: комментарий от anonymous


>Насчет списка юзеров:
[skip]
>На первый взгляд - проблема связана с ситуацией когда количество
>юзеров переваливает за MAX_SAM_USERS...

Возможно.
Как я писал, 2.2.х до 2.2.4 отдавала список юзеров при не более чем
60-70 юзерах.
Якобы при большем числе MS использует другой способ передачи.
Возможно, что где то между 400 и 2500 есть такая же граница ;-)

anonymous
()

Народ, а как сделать пользователя в домене членом группы Domain Admins? Параметр domain admin group не работает.

mr_grind
()

Да. Столько проблем. Не пора ли сделать FAQ по сабжу и конфу для обмена опытом?

PitStop
() автор топика
Ответ на: комментарий от PitStop


>Не пора ли сделать FAQ по сабжу и конфу для обмена опытом?

samba@lists.samba.org

anonymous
()
Ответ на: комментарий от mr_grind


>Народ, а как сделать пользователя в домене членом группы Domain >Admins? Параметр domain admin group не работает.

у меня - работает.
2.2.7

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.