Bug 24075 - User privileges configured via UMC have no effect in Samba/AD domains
User privileges configured via UMC have no effect in Samba/AD domains
Status: REOPENED
Product: UCS
Classification: Unclassified
Component: Samba4
UCS 5.0
Other Linux
: P5 normal (vote)
: ---
Assigned To: Arvid Requate
:
Depends on:
Blocks: 23349
  Show dependency treegraph
 
Reported: 2011-10-17 10:55 CEST by Arvid Requate
Modified: 2022-12-20 10:24 CET (History)
3 users (show)

See Also:
What kind of report is it?: Bug Report
What type of bug is this?: 3: Simply Wrong: The implementation doesn't match the docu
Who will be affected by this bug?: 1: Will affect a very few installed domains
How will those affected feel about the bug?: 2: A Pain – users won’t like this once they notice it
User Pain: 0.034
Enterprise Customer affected?:
School Customer affected?: Yes
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number: 2022121521000315
Bug group (optional): bitesize
Max CVSS v3 score:


Attachments
samba-privileges Listener for Samba/AD (5.80 KB, text/x-python)
2018-05-02 17:44 CEST, Arvid Requate
Details

Note You need to log in before you can comment on or make changes to this bug.
Description Arvid Requate univentionstaff 2011-10-17 10:55:09 CEST
Die Funktionalität des Listener-Moduls univention-samba/samba-privileges.py sollte nach univention-samba4 übernommen werden. Ich gehe davon aus, dass das Modul von tdb auf ldb umgestellt werden muss, die Privilegien jetzt anscheinend in /var/lib/samba/private/privilege.ldb verwaltet werden.
Comment 1 Stefan Gohmann univentionstaff 2011-10-17 16:26:38 CEST
Es scheint dort deutlich mehr Privilegien zu geben, wir müssten prüfen, wie wir das unterscheiden.

Wenn noch Zeit ist, wäre 3.0 gut, ansonsten müssen wir das nachliefern.
Comment 2 Felix Botner univentionstaff 2013-07-16 17:15:39 CEST
Ich habe gerade in einer Samba4 Umgebung folgendes probiert:

->  net rpc rights grant 'HANS\test1'  \
    SePrintOperatorPrivilege -U Administrator%univention

# test1 hat die Samba SID  S-1-5-21-3545445158-2481910874-552132182-5022
-> ldbsearch -H /var/lib/samba/private/privilege.ldb \
   objectSid=S-1-5-21-3545445158-2481910874-552132182-5022
# record 1
dn: sid=S-1-5-21-3545445158-2481910874-552132182-5022
comment: added via LSA
objectSid: S-1-5-21-3545445158-2481910874-552132182-5022
privilege: SePrintOperatorPrivilege
distinguishedName: sid=S-1-5-21-3545445158-2481910874-552132182-5022

Bei der Anmeldung am Samba sehe ich dann im log.snmb (loglevel=5) folgendes:
   Privileges (0x          800020):
    Privilege[  0]: SePrintOperatorPrivilege
    Privilege[  1]: SeChangeNotifyPrivilege

Und wenn ich mich als test1 an Windows anmelde, kann ich Drucker-Einstellungen ändern.
Comment 3 Felix Botner univentionstaff 2015-04-21 12:44:04 CEST
Wahrscheinlich brauchen wir hier zwei listener

 * s3 -> /var/lib/samba/account_policy.tdb TDB
 * s4 -> /var/lib/samba/private/privilege.ldb LDB

Außerdem sollten wir darüber nachdenken, ob wir nicht auch die Privilegien für Rechneraccounts konfigurierbar machen.
Comment 4 Arvid Requate univentionstaff 2018-05-02 17:44:22 CEST
Created attachment 9521 [details]
samba-privileges Listener for Samba/AD

The attached listener module is a copy of the samba-privileges.py module from univention-samba, adjusted to write to the privilege.ldb file instead of to the tdb file. Untestet.
Comment 5 Stefan Gohmann univentionstaff 2019-01-03 07:23:40 CET
This issue has been filled against UCS 4.1. The maintenance with bug and security fixes for UCS 4.1 has ended on 5st of April 2018.

Customers still on UCS 4.1 are encouraged to update to UCS 4.3. Please contact
your partner or Univention for any questions.

If this issue still occurs in newer UCS versions, please use "Clone this bug" or simply reopen the issue. In this case please provide detailed information on how this issue is affecting you.