NT groepen met Samba 3.0.0 (rc4)

De eigen groepen

Ok.... dat waren de welbekende groepen.

Nu gaan we groepen maken die we zelf hebben verzonnen:

lln - voor leelingen
doc - voor docenten

Ik kan er natuurlijk veel meer verzinnen: directie, staf, administratie. Maar voor ons voorbeeld voldoen de 2 genoemde uitstekend.

Ik heb deze 2 groepen al voorbereid in Linux:

root@kali:~# grep lln /etc/group
lln::1001:
root@kali:~# grep doc /etc/group
doc::1005:
root@kali:~#

In dit geval hebben we het commando "net groupmap add" nodig met een aantal opties:

root@kali:~# net groupmap add ntgroup=doc unixgroup=doc type=d
No rid or sid specified, choosing algorithmic mapping
Successully added group doc to the mapping db
root@kali:~# net groupmap add ntgroup=lln unixgroup=lln type=d
No rid or sid specified, choosing algorithmic mapping
Successully added group lln to the mapping db
root@kali:~#

Zoals je ziet worden de RIDs via een algoritme gekozen. RIDs kunnen ook zelf gekozen worden, maar daar kom ik straks even op terug.

Het resultaat van de noeste arbeid?:

root@kali:~# net groupmap list|grep doc
doc (S-1-5-21-2789342175-2751626752-71540352-3011) -> doc
root@kali:~# net groupmap list|grep lln
lln (S-1-5-21-2789342175-2751626752-71540352-3003) -> lln
root@kali:~#

We kunnen nu gebruikers aanmaken voor die groepen:

root@kali:~# useradd -g users -G lln -d /home/leerling -s /bin/false leerling
root@kali:~# smbpasswd -a leerling
New SMB password:
Retype new SMB password:
Added user leerling.
root@kali:~# useradd -g users -G doc -d /home/docent -s /bin/false docent  
root@kali:~# smbpasswd -a docent  
New SMB password:
Retype new SMB password:
Added user docent.
root@kali:~#

Zoals je ziet heb ik 2 gebruikers aangemaakt: docent en leerling. Beide hebben als primaire groep "users", echter elk heeft een verschillende extra groep.

Als we via "net" informatie over die gebruikers opvragen

root@kali:~# net user info docent
Password:
Domain Users
doc
root@kali:~# net user info leerling
Password:
Domain Users
lln

dan blijkt het groeps lidmaatschap hetzelfde te zijn als in Linux. Afgezien van het toevoegen van de gebruiker met "smbpasswd" kunnen we dus verder volstaan met normaal Linux gebruikers beheer

Zoals beloofd kom ik nog even terug op de RIDs voor de eigen groepen. Origineel had ik het idee om deze RIDs zelf aan te geven. Vandaar ook de vrij hoge groeps nummers van de groepen "doc" en "lln". Echter in de "Samba (v.3) PDC LDAP howto" staat over de RIDs een opmerking die ik niet helemaal vertrouw/snap. Even vrij vertaald:

Onhoud dat in de ldapsam backend de RID mapping gebasseerd is op een algoritme: rid='2*uidNumber+1000' en primaryGroup='2*uidNumber+100+1', dus een root of welke administratieve account dan ook _moet_ een RID 1000 hebben, en een sambaSID als: ........

En dan volgt een voorbeeld van de sambaSID en sambaPrimaryGroupSID

Uiteindelijk is het mijn bedoeling dat er een OpenLDAP als basis gaat dienen voor de Samba en Linux authorisatie. Momenteel snap ik die opmerking in de LDAP HOWTO niet helemaal. Uit zekerheid laat ik de RID dus maar door het programma bepalen.

Index