https://m.opennet.dev/openforum/vsluhforumID14/2286.html Суть проблемы:<br>Если доменный юзер AD включен в более чем 16 доменных групп в AD, то winbind видит только 16 групп AD. Таким образом, используя ACL и раздавая права на расшаренные ресурсы посредствам групп AD, некоторых пользователей, которые входят в большое кол-во групп могут не получить доступ у ресурсу.<br>Не знаю как с этим бороться!!!???<br><br>Далее показываю все что с этим связано:<br><br>Юзер входит только в одну группу в AD &#8220;пользователи домена&#8221;<br><br># id trandov<br>uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена)<br><br>Включил этого юзера еще в 10 групп в AD.<br><br>id trandov<br>uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена)<br><br>Перестартуем samba целиком (как перестартовать только winbind &#8211; не знаю)<br>sh /usr/local/etc/rc.d/samba restart<br><br>Видно что появились 10 групп, которые я добавил.<br># id trandov<br>uid=10003(trandov) gid=10020(пользователи домена) groups=10020(пользователи домена),10053(f024),10054(f070),10055(f110),10056(f115) https://m.opennet.dev/openforum/vsluhforumID14/2286.html#7 Mon, 22 Mar 2010 14:35:12 GMT Да, точно, спасибо. Так оно и есть. <br>Сделал то же самое и все получилось.<br>Поставил FreeBSD 8.0!!!<br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#6 Tue, 09 Mar 2010 16:46:41 GMT &gt;&gt;А что выводит "wbinfo -r username"? <br>&gt;&gt;У меня выводит все id групп - 49 штук (группы, в которые <br>&gt;&gt;входит аккаунт). <br>&gt;<br>&gt;А вот при таком раскладе, кстати, выводит id-шники всех тех груп, в <br>&gt;которые включен данный юзер. Странно как то!!! <br><br>Проверил специально.<br>На 7.2 нельзя через loader.conf изменить kern.ngroups.<br>На 8.0 - можно. Изменил (как писал выше).<br>Поставил самбу 3.0.37 (из портов, с поддержкой ADS). Ввел в домен.<br>Все группы отображаются через "id username".<br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#5 Tue, 09 Mar 2010 12:37:11 GMT &gt;&gt;А что выводит "wbinfo -r username"? <br>&gt;&gt;У меня выводит все id групп - 49 штук (группы, в которые <br>&gt;&gt;входит аккаунт). <br>&gt;<br>&gt;А вот при таком раскладе, кстати, выводит id-шники всех тех груп, в <br>&gt;которые включен данный юзер. Странно как то!!! <br><br>Похоже, что в случае не с wbinfo winbind не используется.<br>http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html<br><br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#4 Fri, 05 Mar 2010 14:07:43 GMT &gt;А что выводит "wbinfo -r username"? <br>&gt;У меня выводит все id групп - 49 штук (группы, в которые <br>&gt;входит аккаунт). <br><br>А вот при таком раскладе, кстати, выводит id-шники всех тех груп, в которые включен данный юзер. Странно как то!!!<br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#3 Fri, 05 Mar 2010 13:29:47 GMT &gt;[оверквотинг удален]<br>&gt;В своей версии 7.2 данный параметр на лету менять нельзя. <br>&gt;Пришлось править в файл sys/sys/syslimits.h #define NGROUPS_MAX <br>&gt; 1024 <br>&gt;<br>&gt;и далее перегенерить ядро. <br>&gt;После перезагрузки на ввод #sysctl kern.ngroups <br>&gt;выводит: kern.ngroups: 1024 <br>&gt;НО ПРОБЛЕМА НЕ РЕШИЛАСЬ!!! <br>&gt;При вводе #id username - показывает не более 16 групп. <br>&gt;Кто знает как победить этого гада??? <br><br>Не уверен, но может и самбу пересобрать надо (или даже и мир)?<br>Посмотрите http://www.lissyara.su/articles/freebsd/www/apache1.3_+_php_+_mysql/<br>Там самбы не касается, но тоже упирается в лимит в 16 групп:<br>"Короче - ставим сколько надо (всё не тестил, но вроде как всё рабтает нормально, правда, для верности, пересобирал вообще всё - мир, ядро, и все установленные приложения. Каюсь - метод, всёже косячный, но умней ничё в башке не родилось, да и время поджимало)."<br><br><br>А что выводит "wbinfo -r username"?<br>У меня выводит все id групп - 49 штук (группы, в которые входит аккаунт).<br><br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#2 Fri, 05 Mar 2010 12:43:42 GMT &gt;[оверквотинг удален]<br>&gt;Говорили, что можно будет менять в каких-то версиях ... <br>&gt;Не проверял. Почитайте, проверьте. <br>&gt;http://www.freebsd.org/cgi/query-pr.cgi?pr=108552 <br>&gt;<br>&gt;Проверил на FreeBSD 8.0-RELEASE-p2. Добавил в /boot/loader.conf <br>&gt;kern.ngroups="32" <br>&gt;<br>&gt;После ребута вижу: <br>&gt;kern.ngroups: 1023 <br>&gt;Не то, что вводил (32), но, думаю, хватит :) <br><br>Благодарю за подсказку.<br>В своей версии 7.2 данный параметр на лету менять нельзя.<br>Пришлось править в файл sys/sys/syslimits.h #define NGROUPS_MAX 1024<br>и далее перегенерить ядро.<br>После перезагрузки на ввод #sysctl kern.ngroups<br>выводит: kern.ngroups: 1024<br>НО ПРОБЛЕМА НЕ РЕШИЛАСЬ!!!<br>При вводе #id username - показывает не более 16 групп.<br>Кто знает как победить этого гада???<br> <br><br><br><br> https://m.opennet.dev/openforum/vsluhforumID14/2286.html#1 Thu, 04 Mar 2010 10:41:39 GMT &gt;Суть проблемы: <br>&gt;Если доменный юзер AD включен в более чем 16 доменных групп в <br>&gt;AD, то winbind видит только 16 групп AD. Таким образом, используя <br>&gt;ACL и раздавая права на расшаренные ресурсы посредствам групп AD, некоторых <br>&gt;пользователей, которые входят в большое кол-во групп могут не получить доступ <br>&gt;у ресурсу. <br>&gt;Не знаю как с этим бороться!!!??? <br>&gt;<br>&gt;Оценю любую Вашу помощь. Спасибо. <br><br>Это все отсюда:<br>sysctl -d kern.ngroups<br><br>Говорили, что можно будет менять в каких-то версиях ...<br>Не проверял. Почитайте, проверьте.<br>http://www.freebsd.org/cgi/query-pr.cgi?pr=108552<br><br>Проверил на FreeBSD 8.0-RELEASE-p2. Добавил в /boot/loader.conf<br>kern.ngroups="32"<br><br>После ребута вижу:<br>kern.ngroups: 1023<br>Не то, что вводил (32), но, думаю, хватит :)<br><br><br>