Distribution EOLE » Modules » eSBL

le cache group_mapping.tdb est généré au lancement de samba, une fois le serveur intégré au domaine et le service winbind relancé

~# tdbdump /var/lib/samba/group_mapping.tdb 
{
key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-512\00" 
data(13) = "S-1-5-32-544\00" 
}
{
key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-513\00" 
data(13) = "S-1-5-32-545\00" 
}
{
key(23) = "UNIXGROUP/S-1-5-32-544\00" 
data(24) = "\90q]\05\04\00\00\00Administrators\00\00" 
}
{
key(23) = "UNIXGROUP/S-1-5-32-545\00" 
data(15) = "\91q]\05\04\00\00\00Users\00\00" 
}
~#

l'initialisation du cache permet de générer automatiquement 4 enregistrements

la création des deux groupes built-in locaux administrators et users

~# net groupmap list
Administrators (S-1-5-32-544) -> BUILTIN+administrators
Users (S-1-5-32-545) -> BUILTIN+users

le groupe administrateurs (alias du groupe DomainAdmins groupe des administrateurs du domaine) étant membre du groupe local administrators

~# net rpc group members Administrators -U admin
Enter admin's password:
MONDOMAINE\administrateurs

le groupe utilisateurs (alias du groupe DomainUsers, groupe des utilisateurs du domaine) étant membre du groupe local users

~# net rpc group members Users -U admin
Enter admin's password:
MONDOMAINE\utilisateurs

le bug provient du script esbl_samba_join d'intégration du serveur au domaine, lancé lors de la dernière phase de l'instanciation du serveur:
les services smbd et nmbd sont relancés avant l'intégration au domaine
Après la commande d'intégration au domaine, le fait de relancer winbind, créer les groupes built-in via la commande 'net sam createbuiltingroup administrators ...', ne permet apparemment plus de disposer des droits adéquats pour exécuter la commande 'net rpc group addmem administrators administrateurs ...'

la relance des services smbd et nmbd est à déplacer après la commande d'intégration au domaine et relance du service winbind

la condition en fin de script serait sûrement à supprimer, sous réserve de supprimer le cache group_mapping.tdb avant la relance des services samba (après l'intégration au domaine)

if [ "$SMB_TYP" = "amd" ] ; then
  echo "Rajout du droit d'admin des imprimantes pour le compte Admin du domaine: (3 s d'attente)" 
  echo -n "net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%****** : " 
  #rajout du droit admin des imprimantes pour le compte Admin du domaine (bug Samba 3.4.5)
  #http://ti2appli.appli.i2/mantis/view.php?id=1352
  net sam createbuiltingroup administrators -U  ${SMB_ADM}%${SMB_PASS}
  net sam createbuiltingroup users  -U  ${SMB_ADM}%${SMB_PASS}
  net rpc group addmem administrators administrateurs -U  ${SMB_ADM}%${SMB_PASS}
  net rpc group members administrators -U  ${SMB_ADM}%${SMB_PASS}
  sleep 3
  net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS}  -I $(CreoleGet adresse_ip_eth0)
fi

l'utilité de la commande
net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS} -I $(CreoleGet adresse_ip_eth0)
reste à vérifier

la réinitialisation du cache gencache.tdb peut être effectué avec la commande

~# net cache flush

Appliqué par commit conf-esbl:0a4a052ae661202a4aa9a5fe21bfe63436b0d21f.