[samba] права на каталог winbind_privileges

[Alexander Bokovoy]

Alexander Gottlieb пишет:
> Hail there Avramenko Andrew!
> 
>>> Зачем так усложнять? Можно просто создать группу winbind,
>>> прописать членам этой группы доступ до каталога
>>> winbind_privileges. И включить в нее тех пользователей от чьего
>>> имени нужно работать с винбиндом.
>> Пытался так сделать - у меня не получилось. Сложилось такое
>> впечатление, что squid работает только с группой, которая указана у
>> него в качестве параметра effective group. Т.е. по идее туда тогда
>> прийдется указывать группу winbind.
> 
> Хммм... Странно. По идее тут от самого сквида ничего не зависит. Это
> же на системном уровне прописыается, что пользователь squid входит в
> группы squid и winbind. И по идее все процессы запущенные от
> пользователя squid должны иметь дуступ к каталогам, куда пускают
> членов обоих этих групп.
> 
> Щас поглядел на боевом серваке со сквидом. У меня тоже почему-то там
>  просто вот так сделано: drwxr-x--- 2 root squid  96 May  4 05:29
> winbindd_privileged
> 
> Но правда там кроме сквида никто к винбинду не обращается и я мог так
>  сделать просто из лени. :-)
К сожалению, Squid не вписывает все свои supplementary groups при старте
  ntlm_auth из-под себя -- его процессы в этом месте сбрасывают максимум
возможных привилегий. Так что только root/squid. Либо править Squid, но
это уже немного более основательно, чем хотелось бы.

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/