Домен/Windows

Материал из ALT Linux Wiki
< Домен
Версия от 11:05, 12 октября 2012; АндрейЧерепанов (обсуждение | вклад) (Новая страница: «{{Stub}} Использование домена для аутентификации компьютеров с Windows. = Заметки = == Не меняйте ...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)
Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.


Использование домена для аутентификации компьютеров с Windows.

Заметки

Не меняйте имени сервера Samba — пропадут пользователи!

Так как при создании нового пользователя в домене для него прописывается SID, при смене имени сервера серверная часть SID меняется и пользователи со старыми SID уже недоступны, показывается примерно такое 

# pdbedit -L
sid S-1-5-21-694984405-1863599809-1435972588-11002 does not belong to our domain

При этом новые пользователи заводятся уже с правильным SID. Для исправления ситуации со старыми пользователями нужно выполнить следующий скрипт: 

nsid=$(net getlocalsid | cut -f2 -d: | tr -d ' ')
ldap-getent passwd \* uid SambaSID | sed 's/:.*-/ /' | while read u id;do echo "SambaSID:$nsid-$id" | ldap-usermod replace "$u";done

После этого команда 

pdbedit -L

должна показать имена всех пользователей.

Выдача административных привилегий

1. Сначала нужно назначить пользователя-администратора. Для прав на выдачу привилегий у него должен быть uid равный 0. Тогда он может назначать привилегии через net rpc rights. Заведите временно пользователя в LDAP (например, admin), задайте ему пароль и поменяйте uidNumber так: 

echo "uidNumber:0" | ldap-usermod replace admin


2. В LDAP создайте группу (например, admins) через веб-интерфейс или из командной строки: 

ldap-groupadd admins

Добавьте туда пользователей через веб-интерфейс или из командной строки: 

echo 'memberUid:fill' | ldap-groupmod add admins

3. Привяжите группу admins в LDAP 

net groupmap add ntgroup="Domain Admins" unixgroup=admins rid=$(ldap-getent group admins gidNumber) type=d

Проверка: 

# net groupmap list
Domain Admins (S-1-5-21-1030826534-3966062986-1234182018-5003) -> admins

4. Выдайте привилегии для группы Domain Admins: 

net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege -Uadmin

Проверка (просмотр всех привилегий по группам): 

net rpc rights list accounts -Uadmin

Примечание: обратите внимание, что для заведения компьютера в домен нужно входить в группу с привилегией SeMachineAccountPrivilege.

5. Чтобы не было коллизий с системным пользователем root, после операции по назначению группы и привилегий этого пользователя нужно удалить или поменять его UID на другой.

Ссылки