Univention Bugzilla – Bug 24075
User privileges configured via UMC have no effect in Samba/AD domains
Last modified: 2022-12-20 10:24:04 CET
Die Funktionalität des Listener-Moduls univention-samba/samba-privileges.py sollte nach univention-samba4 übernommen werden. Ich gehe davon aus, dass das Modul von tdb auf ldb umgestellt werden muss, die Privilegien jetzt anscheinend in /var/lib/samba/private/privilege.ldb verwaltet werden.
Es scheint dort deutlich mehr Privilegien zu geben, wir müssten prüfen, wie wir das unterscheiden. Wenn noch Zeit ist, wäre 3.0 gut, ansonsten müssen wir das nachliefern.
Ich habe gerade in einer Samba4 Umgebung folgendes probiert: -> net rpc rights grant 'HANS\test1' \ SePrintOperatorPrivilege -U Administrator%univention # test1 hat die Samba SID S-1-5-21-3545445158-2481910874-552132182-5022 -> ldbsearch -H /var/lib/samba/private/privilege.ldb \ objectSid=S-1-5-21-3545445158-2481910874-552132182-5022 # record 1 dn: sid=S-1-5-21-3545445158-2481910874-552132182-5022 comment: added via LSA objectSid: S-1-5-21-3545445158-2481910874-552132182-5022 privilege: SePrintOperatorPrivilege distinguishedName: sid=S-1-5-21-3545445158-2481910874-552132182-5022 Bei der Anmeldung am Samba sehe ich dann im log.snmb (loglevel=5) folgendes: Privileges (0x 800020): Privilege[ 0]: SePrintOperatorPrivilege Privilege[ 1]: SeChangeNotifyPrivilege Und wenn ich mich als test1 an Windows anmelde, kann ich Drucker-Einstellungen ändern.
Wahrscheinlich brauchen wir hier zwei listener * s3 -> /var/lib/samba/account_policy.tdb TDB * s4 -> /var/lib/samba/private/privilege.ldb LDB Außerdem sollten wir darüber nachdenken, ob wir nicht auch die Privilegien für Rechneraccounts konfigurierbar machen.
Created attachment 9521 [details] samba-privileges Listener for Samba/AD The attached listener module is a copy of the samba-privileges.py module from univention-samba, adjusted to write to the privilege.ldb file instead of to the tdb file. Untestet.
This issue has been filled against UCS 4.1. The maintenance with bug and security fixes for UCS 4.1 has ended on 5st of April 2018. Customers still on UCS 4.1 are encouraged to update to UCS 4.3. Please contact your partner or Univention for any questions. If this issue still occurs in newer UCS versions, please use "Clone this bug" or simply reopen the issue. In this case please provide detailed information on how this issue is affecting you.