[MASOCH-L] Samba: alterar o SID de um determinado usuario

[Rejaine Monteiro]

Olá  pessoal,

Estou precisando alterar  o SID  do SAMBA de alguns usuários, porém sem 
ter que remove-los ou recriar os seus profiles.

A alteração do SID é apenas dos últimos números (o SID master vai 
continuar o mesmo)

Usei, por exemplo,  o pdbedit para alterar o SID no LDAP

Primeiro, busquei o SID atual do usuário:

#pdbedit -L -v user | grep SID

User SID:             S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1001*
Primary Group SID:    S-1-5-21-XXXXXX-XXXXXX-XXXXXX-3000

E para udar o campo User SID de  S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1001* 
para S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1002*, usei o comando abaixo:

pdbedit -U  S-1-5-21-XXXXXX-XXXXXX-XXXXXX-1002 -u user

Até aí, tudo OK. O registro foi alterado na base de dados do LDAP sem 
maiores problemas.

O que ocorre é que ao logar com o usuário no domínio , começou a 
aparecer o seguinte erro:

Falha de logon do serviço Cliente da Diretiva de Grupo. Acesso negado

No log do samba, notei que ao tentar carregar o romaning profile  do 
usuário, ele ainda parece estar pegando pelo SID antigo ainda:

   open_directory: unable to create 
profile.V2/AppData/Roaming/Microsoft/... 
S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1001 *Error was 
NT_STATUS_OBJECT_NAME_COLLISION

Tentei remover o profile descarregado na máquina local do usuário, mas 
não resolveu. Creio que ele esteja puxando essa informação antiga do 
arquivo NTUSER.DAT, que  está armazenado o profile no servidor SAMBA.

Pesquisando por aqui, vi que é possível alterar o SID do arquivo 
NTUSER.DAT com o comando profiles

profiles -c S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1001* -n 
S-1-5-21-XXXXXX-XXXXXX-XXXXXX-*1002 NTUSER.DAT

*Mas o tal comando profiles não funciona, dá os erros abaixo e nada é 
alterado.

ndr_pull_error(11): Pull bytes 1
ndr_pull_security_descriptor failed: NDR_ERR_BUFSIZE
prs_grow: Buffer overflow - unable to expand buffer by 36 bytes.
ndr_pull_error(11): ndr_pull_relative_ptr1 rel_offset(233472) > 
ndr->data_size(4096)
ndr_pull_security_descriptor failed: NDR_ERR_BUFSIZE

Parece que se trata de um bug em algumas versões do samba. Daí copiei o 
NTUSER.DAT para um outro servidor que contém o SAMBA4 instalado e 
consegui executar o comando profiles acima, sem erros. Ele gerou o 
arquivo NTUSER.DATA.new , o qual copiei para a pasta profile.V2 do 
usuário (renomeado para NTUSER.DAT), mas continuo não conseguindo logar 
com o usuário (dá o mesmo erro do início)

Daí não sei mais o que fazer, alguém  tem alguma sugestão?