Без рубрики

Контроллер домена Samba + LDAP

Артур Крюков

Проблема: необходимо добавить Windows машину в домен на стороне виндовой машины. Т.е. не средствами LDAP на стороне Linux. По умолчанию это можно сделать только с правами пользователя root. Но заводить root в LDAP — это чертовски неправильно.

Задача: дать возможность другому, не root, пользователю заводить машины в домен.

Решение.

В конфигурационном файле smb.conf в глобальной секции добавляем параметр:


enable privileges = yes

Перечитываем конфигурационный файл:


smbcontrol smbd reload-config

Смотрим какие привилегии доступны. Пользователь admin — это пользователь в LDAP с правами администратора.


ows:~ # net -U admin rpc rights list
Password:
 SeMachineAccountPrivilege  Add machines to domain
  SeTakeOwnershipPrivilege  Take ownership of files or other objects
         SeBackupPrivilege  Back up files and directories
        SeRestorePrivilege  Restore files and directories
 SeRemoteShutdownPrivilege  Force shutdown from a remote system
  SePrintOperatorPrivilege  Manage printers
       SeAddUsersPrivilege  Add users and groups to the domain
   SeDiskOperatorPrivilege  Manage disk shares
ows:~ #

Смотрим чего может пользователь admin:


ows:~ # net -U admin rpc rights list admin
Password:
ows:~ #

Как видите — ничего не может :(. Разрешим ему добавлять машины в домен.


ows:~ # net -U admin rpc rights grant admin SeMachineAccountPrivilege
Password:
Successfully granted rights.
ows:~ #

И снова глянем, что ему разрешено:


ows:~ # net -U admin rpc rights list admin
Password:
SeMachineAccountPrivilege
ows:~ #

Все, при добавлении машины в домен можно использовать пользователя admin.

Источник информации: Re: [Samba] PDC + LDAP, cannot access LDAP when not root (SOLVED)