NT groepen met Samba 3.0.0 (rc4)

De standaard NT groepen

In dit hoofdstuk gaan we mappings maken voor de reeds bestaande NT groepen. Ik gebruik eigenlijk altijd maar een beperkt aantal van de standaard NT groepen, n.l.:

Domain Admins
Domain Users

Verder maak ik eigenlijk alleen maar eigen groepen.

Voor de "Domain Users" is al een goede kandidaat aanwezig op een Linux systeem, n.l. de groep "users". Voor de groep "Domain Admins" zou je natuurlijk de groep "root" kunnen gebruiken, maar persoonlijk ben ik daar altijd wat voorzichtig mee. Ik maar altijd de linux groep "beheerders" aan voor dit doel.

Het komt mij een beetje tegenstrijdig over, maar voor het aanmaken van de mapping voor de default NT groepen gebruik je het net commando "net groupmap modify" en niet "add". De logica is waarschijnlijk dat deze groepen al bestaan in Samba zoals we in het vorige hoofstuk hebben gezien, ook al hebben ze in feite nog geen mapping.

Ik heb al eerder de groep beheerders toegevoegd. Van deze groep is op dit moment alleen root lid. Ik heb ook al een gebruiker "pkn" aangemaakt, deze is lid van users.

root@kali:~# grep beheerders /etc/group
beheerders::105:root
root@kali:~# grep pkn: /etc/passwd
pkn:x:500:100:Peter Kaagman,,,:/home/pkn:/bin/bash
root@kali:~# grep users /etc/group
users::100:
root@kali:~#

In het vorige hoofdstuk hebben we met het commando "net user" al aangetoond dat de gebruikers "root" en "pkn" al bestaan voor Samba.

Aangezien de groep "beheerders" al bestaat kunnen we dus doorgaan met:

root@kali:~# net groupmap modify \
> ntgroup="Domain Admins" \
> unixgroup=beheerders type=d          
Updated mapping entry for Domain Admins
root@kali:~# net groupmap modify \
> ntgroup="Domain Users" \ 
> unixgroup=users type=d
Updated mapping entry for Domain Users
root@kali:~#

NB
Voor de opmaak heb ik de commando's verdeeld over verschillende regels door de eerste 2 enters te escappen (dat is die "\" aan het einde van de regel). Uiteraard mag het commando ook gewoon op 1 hele regel staan. Maar in mijn geval werd de tekst dan een beetje te breed.

Zoals je kunt zien heb ik 2x het commando "net groupmap modify" met verschillende opties uitgevoerd.

Het resultaat van deze aktie kunnen we op een aantal punten zien. Allereerst natuurlijk met het commando "net groupmap list":

root@kali:~# net groupmap list
System Operators (S-1-5-32-549) -> -1
Domain Admins (S-1-5-21-2789342175-2751626752-71540352-512) -> beheerders
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Users (S-1-5-21-2789342175-2751626752-71540352-513) -> users
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Domain Guests (S-1-5-21-2789342175-2751626752-71540352-514) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
root@kali:~#

Zoals was te verwachten zijn er nu mappings voor "Domain Admins" en "Domain Users".

Maar we kunnen nu ook het commando "net user info <gebruiker>" gebruiken om te laten zien dat de gebruiker ook daarwerkelijk in die groep zit:

root@kali:~# net user info root
Password:
Domain Admins
root@kali:~# net user info pkn 
Password:
Domain Users
root@kali:~#

Indien we nu de gebruiker "pkn" toevoegen aan de groep "beheerders" dan zullen we zien dat hij ook gelijk toegevoegd wordt aan de NT groep "Domain Admins"

root@kali:~# usermod -G beheerders pkn
root@kali:~# groups pkn
pkn : users beheerders
root@kali:~# net user info pkn
Password:
Domain Users
Domain Admins
root@kali:~#

Index