[samba] права на каталог winbind_privileges
Alexander Bokovoy
ab на altlinux.org
Чт Май 10 13:07:07 MSD 2007
Alexander Gottlieb пишет:
> Hail there Avramenko Andrew!
>
>>> Зачем так усложнять? Можно просто создать группу winbind,
>>> прописать членам этой группы доступ до каталога
>>> winbind_privileges. И включить в нее тех пользователей от чьего
>>> имени нужно работать с винбиндом.
>> Пытался так сделать - у меня не получилось. Сложилось такое
>> впечатление, что squid работает только с группой, которая указана у
>> него в качестве параметра effective group. Т.е. по идее туда тогда
>> прийдется указывать группу winbind.
>
> Хммм... Странно. По идее тут от самого сквида ничего не зависит. Это
> же на системном уровне прописыается, что пользователь squid входит в
> группы squid и winbind. И по идее все процессы запущенные от
> пользователя squid должны иметь дуступ к каталогам, куда пускают
> членов обоих этих групп.
>
> Щас поглядел на боевом серваке со сквидом. У меня тоже почему-то там
> просто вот так сделано: drwxr-x--- 2 root squid 96 May 4 05:29
> winbindd_privileged
>
> Но правда там кроме сквида никто к винбинду не обращается и я мог так
> сделать просто из лени. :-)
К сожалению, Squid не вписывает все свои supplementary groups при старте
ntlm_auth из-под себя -- его процессы в этом месте сбрасывают максимум
возможных привилегий. Так что только root/squid. Либо править Squid, но
это уже немного более основательно, чем хотелось бы.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
Подробная информация о списке рассылки Samba