usuarios com direito de root [RESOLVIDO]

iarlyy
(usa Fedora)

Enviado em 28/08/2008 - 15:57h

Caros amigos encontrei o seguinte problema:

Tenho que adicionar uma nova maquina no dominio samba e tenho alguns usuarios no Ldap no grupo Domain Admins (suporte, admin1, admin2, etc etc), quando uma nova maquina vai ingressar no dominio eu tenho que informar a senha do administrator no caso do linux (root), só que eu não queria usar o root e em vez disso da direito a esses meus usuarios terem esse acesso e as outras tarefas administrativas

Lembrando que meus usuarios do dominio estao no Ldap. já tentei usar o username map e admin users na secao global mais nao rolou.

Desde já agradeço

Se alguem tiver alguma sugestao.

glbarreto
(usa Debian)

Enviado em 28/08/2008 - 17:42h

Boa tarde.

Aqui eu uso os seguintes parâmetros no smb.conf para isso funcionar.

enable privileges = Yes
admin users = @administrators

Lembrando que para um bom funcionamento do seu ambiente esse grupo tem que ter no final do SambaSID dele o número 512, ex:
net groupmap list | grep administrators
administrators (S-1-5-21-xxxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-512) -> administrators

Espero ter ajudado.

Gustavo Luis Barreto

iarlyy
(usa Fedora)

Enviado em 29/08/2008 - 09:10h

ta assim:

Domain Admins (S-1-5-21-1282764113-1200957584-1082013118-512) -> Domain Admins

Porem existe esse grupo no container ldap chamado Domain Admins

#getent group
Domain Admins:*:512:root,admin1,admin2,admin3

Estou tentando fazer uma tarefa comum, renomear uma maquina, insiro os dados de um dos usuarios acima quando ele pede o nome do administrador e ele da acesso negado

e no log do usuario mostra isso.

[2008/08/29 09:07:57, 0] rpc_server/srv_samr_nt.c:set_user_info_21(3249)
set_user_info_21: failed to rename account: NT_STATUS_ACCESS_DENIED

iarlyy
(usa Fedora)

Enviado em 29/08/2008 - 10:29h

O lance do renomear maquina encontrei o problema, depois de umas googladas encontrei a sugestao de adicionar a seguinte linha no smb.conf

rename user script = /usr/sbin/smbldap-usermod -r "%unew" "%uold"

Funcionou, vou fazer mais alguns testes para saber se realmente o usuário meuadmin tá com direitos de root

deixei configurado comforme sugestao acima do colega, vou testar mais e depois informo

enable privileges = Yes
admin users = meuadmin

glbarreto
(usa Debian)

Enviado em 29/08/2008 - 15:46h

glbarreto
(usa Debian)

Enviado em 29/08/2008 - 15:47h

Importante não esquecer do "@" para sinalizar grupo no smb.conf

iarlyy
(usa Fedora)

Enviado em 29/08/2008 - 15:49h

Tranquilo :D

iarlyy
(usa Fedora)

Enviado em 29/08/2008 - 16:30h

Mudando um pouco o assunto, cara tu ja ouviu falar de setar permissoes estilo o windows faz

por exemplo:

eu tenho uma pasta chamada "bamba" e ela pertence ao usuario "bamba" de grupo "bambado" o grupo bambado tem dieito de leitura (r) e o usuario rwx, eu queria que um outro grupo "bambado2" tivesse direito somente de execucao, voce ja viu algo a respeito?

glbarreto
(usa Debian)

Enviado em 29/08/2008 - 19:49h

Veja, o linux não implementa adicionar grupo dentro de grupo. Para fazer isso de uma estudada sobre ACLs POSIX (http://www.dicas-l.com.br/dicas-l/20050901.php).

Para reverter isso, você pode facilmente adicionar um usuario em vários grupos e esses grupos, posta-los de forma hierárquica. Por exemplo.

grupo-diretoria
Joãopaulo (Diretor)

grupo-gerenciarh
Joãopaulo (Diretor)
Renato (Gerente)

grupo-rh
Joãopaulo (Diretor)
Renato (Gerente)
Daniele
Gisele
Carlos
PedroLuis
Marcelo

Estrutura de pastas:

drwxr-sr-x DIRETORIA_RH-
drwxrws--- DIRETORIA (grupo-diretoria)
drwxrws--- GRH- (grupo-gerenciarh)
drwxrws--- RH- (grupo-rh)



Deu pra compreender?

iarlyy
(usa Fedora)

Enviado em 30/08/2008 - 09:34h

Brother muitissimo obrigado pela a ajuda, acho q tem muita gente desinformada sobre isso, dei uma lida em alguns tutos ae, vou ver se na comunidade aqui ja existe algum artigo falando a respeito, senao vou publicar um como utilizar, porque isso dá uma ajuda imensa.

Vlw