AltLinux-домен c samba4 как осуществить groupmap?

[ApB]

При поднятии AltLinux-домена с samba4 производится автоматическая привязка unix-группы "admins" и samba-группы "Domain admins", а также unix-группы "users" и samba-группы "Domain user".

Как можно осуществить привязку вновь создаваемых unix-групп к samba-группам?

[Skull]

При поднятии AltLinux-домена с samba4 производится автоматическая привязка unix-группы "admins" и samba-группы "Domain admins", а также unix-группы "users" и samba-группы "Domain user".

Как можно осуществить привязку вновь создаваемых unix-групп к samba-группам?

См. страницу http://www.altlinux.org/Домен/Windows/Manual

3. Привяжите группы LDAP к группам домена
net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=Admins
net groupmap add rid=513 ntgroup="Domain Users" unixgroup=Users
net groupmap add rid=514 ntgroup="Domain Guests" unixgroup=Guests
net groupmap add rid=515 ntgroup="Domain Computers" unixgroup=Computers

[ApB]

да, но ситуация:
создана группа "2104" через альтератор, далее пытаюсь привязать unix-группу и samba-группу и получаю:

Код: [Выделить]

net groupmap add ntgroup="2104" unixgroup=2104
No rid or sid specified, choosing a RID
Got RID 1006
adding entry for group 2104 failed!

[Skull]

да, но ситуация:
создана группа "2104" через альтератор, далее пытаюсь привязать unix-группу и samba-группу и получаю:

Код: [Выделить]

net groupmap add ntgroup="2104" unixgroup=2104
No rid or sid specified, choosing a RID
Got RID 1006
adding entry for group 2104 failed!

Это команда привязки к системным Windows-группам. А маппирование LDAPных групп на Samba происходит автоматически.

[ApB]

Автоматически?
Тогда я что-то сделал неправильно, в виду того, что групп вбил с десяток, но:

Код: [Выделить]

net rpc group -Uadmin%pass
Domain Users
Domain AdminsЧто я сделал неверно, если группы создаются через альтератор, а в samba создаются автоматически и где искать затык?

[Skull]

Автоматически?
Тогда я что-то сделал неправильно, в виду того, что групп вбил с десяток, но:

Код: [Выделить]

net rpc group -Uadmin%pass
Domain Users
Domain AdminsЧто я сделал неверно, если группы создаются через альтератор, а в samba создаются автоматически и где искать затык?

Я тоже сталкивался с этим эффектом. Искать в Samba. Но это проблемы Samba, управлению правами групп на общем ресурсе они никак не мешают.

[ApB]

управлению правами групп на общем ресурсе они никак не мешают.

имеется в виду управление правами чисто для unix-групп как сами для себя?

А в отношении автоматически создаваемых samba-групп на основе unix-групп - как этот процесс организован в alt-linux?

[ApB]

В любом варианте при попытке создания группы в message падает сообщение:

../source3/smbd/posix_acls.c:2084(create_canon_ace_lists)
 create_canon_ace_lists: unable to map SID S-1-5-21-1189623917-2102663967-1782418725-11000 to uid or gid.

[Skull]

управлению правами групп на общем ресурсе они никак не мешают.

имеется в виду управление правами чисто для unix-групп как сами для себя?

А в отношении автоматически создаваемых samba-групп на основе unix-групп - как этот процесс организован в alt-linux?

LDAP-ные группы через nsswitch доступны на клиенте.

[Skull]

В любом варианте при попытке создания группы в message падает сообщение:

../source3/smbd/posix_acls.c:2084(create_canon_ace_lists)
 create_canon_ace_lists: unable to map SID S-1-5-21-1189623917-2102663967-1782418725-11000 to uid or gid.

Зачем вам группы Samba?

[ApB]

В домен вводятся виндовые и линуксовые компы, на которых должны монтироваться сетевые директории с уникальной структурой для каждого подразделения, а также запускаться скрипты для монтирования принтеров и установки программного обеспечения на основе групп пользователей и виду того, что до GPO не добраться, всё это предположительно будет линковаться в зависимости от имени группы.
 Если у меня все юзера упадут в "Domain users" то как мне разграничить монтирование сетевых директорий и инициацию скриптов?

[Skull]

Если у меня все юзера упадут в "Domain users" то как мне разграничить монтирование сетевых директорий и инициацию скриптов?

Ага, в уравнение вводится переменная «Виндовые машины». Что ж, я подумаю, как замаппировать в Samba группы. Вопрос: нужны все группы замаппированными или галочку в alterator-ldap-groups по заведению группы в Samba?

[ApB]

ИМХО лучше галочку.
А использование Alt-домена для гетерогенных сетей не планировалось (samba4, GPO)?

[Skull]

Пока реализована частичная поддержка. Но планируется расширение. Нужны отзывы тех, кто работает с Windows.

[ApB]

Пока реализована частичная поддержка. Но планируется расширение. Нужны отзывы тех, кто работает с Windows.

Частичная поддержка - в каких частях? Я вроде протестил систему по описанному на samba.org алгоритму настройки smb4, но просто подцепиться не смог к серверу с win-клиента с сообщением "... указанный домен не существует или к нему невозможно подключиться".
По поводу "отзывов" вероятно я смогу помочь ... если будет таковая возможность, ибо планировалось использование GPO использовать для различных настроек клиентских рабочих мест (от установки ПО до настроек браузера "по-умолчанию")...если я Вас правильно понял.