我已经安装了带有 ldapsam 环境的 samba 服务器(3.4.0,Ubuntu),突然一个登录用户被自动添加到组 10002、10003 和 10005。这很糟糕,因为这些 gid 恰好被其他用户使用(默认情况下我们有 uid=gid),因此这些用户可以查看错误的目录等。
samba 3.0.33 没有这样做。
经过大量调试后我发现这对应于:
sid S-1-1-0 -> gid 10002
sid S-1-5-2 -> gid 10003
这些可能对应的是:“所有人”和“网络摆脱”(???)
我找不到 10005 的 SID 值,可能可以用 gdb 找到它...
有没有办法至少将这些值重新映射到无害的值?最好的方法是根本不让用户拥有这些组。
答案1
经过几个小时的尝试,我找到了一个解决方案。虽然我使用的是 ldap 后端,但 idmap 仍然适用于某些“samba”组。当您首次启动 samba 时,它会获取 idmap gid 范围并开始添加自己的组。
有两种方法可以修复此问题:
- 使用 tdbtool 编辑 /var/lib/samba/winbindd_idmap.tdb 并将 GID 更改为您想要的
- 停止 winbind,编辑 smb.conf 中的 idmap gid 范围,使其从您想要新 groupos 的 gids 开始,删除 /var/lib/samba/winbindd_idmap.tdb,重新启动 samba。