Gruppen-Mapping von Win2K3 nach Linux

31/03/2009 - 17:49 von Dan Osterrath | Report spam
Ich habe hier ein openSUSE 11.1 als Member einer Windows 2003 Server
Domàne. Der Linux-Rechner ist bereits in der Domàne und das
automatische Anlegen der User beim Login funktioniert auch bereits.
Allerdings stimmen die zugeordneten Gruppen nicht.

Die Windows-Gruppe "Domànen-Benutzer" soll auf die Unix-Gruppe "users"
mappen und die Windows-Gruppe "SVN-Benutzer" auf die Unix-Gruppe
"svn".

Hier zunàchst meine smb.conf:
-
[global]
workgroup = 3M5
netbios name = Isengart
realm = 3M5.NETZ
security = ADS
idmap gid = 100-20000
idmap uid = 100-20000
winbind separator = /
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
client use spnego = yes
template homedir = /home/%D/%U
template shell = /bin/bash
usershare allow guests = No
winbind refresh tickets = yes
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody
-s /bin/false %m$
domain logons = No
domain master = No
usershare max shares = 100
-

Hier die Liste der Domànen-Gruppen:
-
isengart:/etc # wbinfo -g
richtlinien-ersteller-besitzer
domà€nen-admins
domà€nen-benutzer
domà€nencomputer
domà€nen-gà€ste
zertifikatherausgeber
domà€nencontroller
dnsupdateproxy
exchange domain servers
exchangebackup
ras- und ias-server
netshow-administratoren
dnsadmins
exchange enterprise servers
dhcp-benutzer
dhcp-administratoren
iis_wpg
wins-benutzer
dhcp users
dhcp administrators
svn-benutzer
organisations-admins
schema-admins
exchange servers
exchange organization administrators
exchange recipient administrators
exchange view-only administrators
exchangelegacyinterop
exchange public folder administrators
-

Hier mein Group-Mapping:
-
isengart:/etc # wbinfo -n "SVN-Benutzer"
S-1-5-21-1275210071-1957994488-854245398-1639 Local Group (4)

isengart:/etc # wbinfo -n "Domà€nen-Benutzer"
S-1-5-21-1275210071-1957994488-854245398-513 Domain Group (2)

isengart:/etc # net groupmap list verbose
Domà€nen-Benutzer
SID : S-1-5-21-1275210071-1957994488-854245398-513
Unix gid : 100
Unix group: users
Group type: Domain Group
Comment : Domain Unix group
SVN-Benutzer
SID : S-1-5-21-1275210071-1957994488-854245398-1639
Unix gid : 108
Unix group: svn
Group type: Domain Group
Comment : Domain Unix group

isengart:/etc # getent group
root:x:0:
bin:x:1:daemon
daemon:x:2:
sys:x:3:
tty:x:5:
disk:x:6:
lp:x:7:
www:x:8:
kmem:x:9:
wheel:x:10:
mail:x:12:
news:x:13:
uucp:x:14:
shadow:x:15:
dialout:x:16:
audio:x:17:
floppy:x:19:
cdrom:x:20:
console:x:21:
utmp:x:22:
public:x:32:
video:x:33:
games:x:40:
xok:x:41:
trusted:x:42:
modem:x:43:
ftp:x:49:
man:x:62:
users:x:100:
nobody:x:65533:
nogroup:x:65534:nobody
messagebus:!:101:
haldaemon:!:102:
sshd:!:65:
at:!:25:
postfix:!:51:
maildrop:!:59:
ntp:!:103:
polkituser:!:104:
avahi:!:105:
tomcat:!:106:
ntadmin:!:71:
suse-ncc:!:107:
svn:!:108:
uuidd:!:109:
richtlinien-ersteller-besitzer:x:10029:administrator
domà€nen-admins:x:10030:administrator
domà€nen-benutzer:x:10000:
domà€nencomputer:x:10031:administrator
domà€nen-gà€ste:x:10028:gast
zertifikatherausgeber:x:10032:
domà€nencontroller:x:10033:administrator
dnsupdateproxy:x:10034:
exchange domain servers:x:10035:
exchangebackup:x:10036:administrator
ras- und ias-server:x:10038:eriador$
netshow-administratoren:x:10039:netshowservices
dnsadmins:x:10040:
exchange enterprise servers:x:10041:
dhcp-benutzer:x:10042:
dhcp-administratoren:x:10043:
iis_wpg:x:10044:iwam_dc-w2k3,iwam_eriador
wins-benutzer:x:10045:
dhcp users:x:10046:
dhcp administrators:x:10047:
svn-benutzer:x:10023:osterrath
organisations-admins:x:10048:administrator
schema-admins:x:10049:administrator
exchange servers:x:10050:eriador$
exchange organization administrators:x:10051:administrator
exchange recipient administrators:x:10052:
exchange view-only administrators:x:10053:
exchangelegacyinterop:x:10054:
exchange public folder administrators:x:10055:administrator
-

Wenn ich nun mir die Gruppen für einen Benutzer ausgeben lasse, dann
wird nur die SVN-Gruppe korrekt gemappt. Die User-Gruppe leider nicht:
-
isengart:/etc # groups osterrath
osterrath : domà€nen-benutzer svn
-

Was mache ich denn falsch?
 

Lesen sie die antworten

#1 Dan Osterrath
31/03/2009 - 18:07 | Warnen spam
On 31 Mrz., 17:49, Dan Osterrath wrote:
Wenn ich nun mir die Gruppen für einen Benutzer ausgeben lasse, dann
wird nur die SVN-Gruppe korrekt gemappt. Die User-Gruppe leider nicht:
-
isengart:/etc # groups osterrath
osterrath : domà€nen-benutzer svn
-

Was mache ich denn falsch?



Nach einer Weile ist plötzlich auch das SVN-Mapping weg, ohne dass ich
an der Konfiguration etwas geàndert habe:
-
isengart:/etc # net groupmap list verbose
Domà€nen-Benutzer
SID : S-1-5-21-1275210071-1957994488-854245398-513
Unix gid : 100
Unix group: users
Group type: Domain Group
Comment : Domain Unix group
SVN-Benutzer
SID : S-1-5-21-1275210071-1957994488-854245398-1639
Unix gid : 108
Unix group: svn
Group type: Domain Group
Comment : Domain Unix group

isengart:/etc # groups osterrath
osterrath : domà€nen-benutzer svn-benutzer
-

Wie setze ich das Mapping denn nun richtig, damit ich nach dem Login
den Gruppen users (100) und svn (108) angehöre?

Ähnliche fragen