Контроллер домена Samba + LDAP

Проблема: необходимо добавить Windows машину в домен на стороне виндовой машины. Т.е. не средствами LDAP на стороне Linux. По умолчанию это можно сделать только с правами пользователя root. Но заводить root в LDAP — это чертовски неправильно.

Задача: дать возможность другому, не root, пользователю заводить машины в домен.

Решение.

В конфигурационном файле smb.conf в глобальной секции добавляем параметр:


enable privileges = yes

Перечитываем конфигурационный файл:


smbcontrol smbd reload-config

Смотрим какие привилегии доступны. Пользователь admin — это пользователь в LDAP с правами администратора.


ows:~ # net -U admin rpc rights list
Password:
SeMachineAccountPrivilege Add machines to domain
SeTakeOwnershipPrivilege Take ownership of files or other objects
SeBackupPrivilege Back up files and directories
SeRestorePrivilege Restore files and directories
SeRemoteShutdownPrivilege Force shutdown from a remote system
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeDiskOperatorPrivilege Manage disk shares
ows:~ #

Смотрим чего может пользователь admin:


ows:~ # net -U admin rpc rights list admin
Password:
ows:~ #

Как видите — ничего не может :(. Разрешим ему добавлять машины в домен.


ows:~ # net -U admin rpc rights grant admin SeMachineAccountPrivilege
Password:
Successfully granted rights.
ows:~ #

И снова глянем, что ему разрешено:


ows:~ # net -U admin rpc rights list admin
Password:
SeMachineAccountPrivilege
ows:~ #

Все, при добавлении машины в домен можно использовать пользователя admin.

Источник информации: Re: [Samba] PDC + LDAP, cannot access LDAP when not root (SOLVED)