Mitgliedschaft in Domänengruppen auf Memberservern

20/05/2008 - 03:14 von Hauke Laging | Report spam
Moin,

habe hier einen PDC und einen Fileserver, beide Samba (OS10.3).

Auf dem PDC gibt es eine Gruppe it mit dem User hlaging, auf dem
Memberserver entsprechend DOMAIN\it und DOMAIN\hlaging.

Leider schafft es die Information, dass hlaging dieser Gruppe
angehört, nicht auf den Memberserver.

id hlaging
liefert auf dem PDC auch die Gruppe it, aber
id srmd\\hlaging
auf dem Memberserver liefert nur
Gruppen004(DOMAIN\domain users)

wbinfo -g
zeigt auf dem Memberserver schön alle Windowsgruppen des PDC (analog
zu net groupmap list auf dem PDC).

net groupmap list
auf dem Memberserver zeigt nur:
Administrators (S-1-5-32-544) -> BUILTIN\administrators
Users (S-1-5-32-545) -> BUILTIN\users

getent group domain\\it
auf dem Memberserver zeigt allerdings u.a. DOMAIN\hlaging.

Ich kann im Dateisystem ein
chgrp domain\\it irgendwas
machen, klappt. idmap làuft also.

Mein tolles Samba-Buch und die Onlinedoku schweigen sich so richtig
schön zu dem Thema aus. Offenbar braucht niemand Gruppen auf
Memberservern. <LOL>

Was ist zu tun?

Muss man die group mappings auf dem Memberserver manuell anlegen,
dann aber auf DOMAIN\it statt auf it? Erscheint mir komisch, denn
wenn man sich um die User nicht kümmern muss, warum sollte das bei
den Gruppen so sein?

Noch 'ne Info:
# wbinfo --group-info=DOMAIN\\it
DOMAIN\it:x:10007
# wbinfo -G 10007
S-1-5-21-1980892967-3111337136-923501229-1001

Sieht doch alles grün aus.


Bei diesen Rechten komme ich per Samba nicht in das Verzeichnis (in
Linux kann ich es nicht ausprobieren, weil ein su auf einen
DOMAIN\-User scheitert;
sudo -u domain\\hlaging whoami
DOMAIN\hlaging
geht aber):

# l -d it
drwxrwx+ 10 root DOMAIN\it 4,0K 18. Mai 14:00 it/
(Das + ist nur wegen der default ACL da.)

Ebenso erfolglos:
# sudo -u srmd\\hlaging bash -c 'cd it'
bash: line 0: cd: it: Keine Berechtigung

Das Problem scheint also eher auf Linux- als auf Samba-Ebense zu
liegen. nscd ist aus.


CU

Hauke
http://www.hauke-laging.de/ideen/
http://zeitstempel-signatur.hauke-laging.de/
Wie können 59.054.087 Leute nur so dumm sein?
 

Lesen sie die antworten

#1 Michael Liebl
20/05/2008 - 11:58 | Warnen spam
Am Dienstag, den 20. Mai 2008 schrubte Hauke:

Muss man die group mappings auf dem Memberserver manuell anlegen,
dann aber auf DOMAIN\it statt auf it?



Nein, definitiv nicht, làuft hier auch ohne.
Allerdings mit Windows als PDC.
Winbind erledigt ja den Rest.

Mit OS10.3 kann ich nichts anfangen.
smbd -V gibt dir die Version aus.

Was wohl nicht Standard ist, ich hab's gesetzt:

winbind enum users = Yes
winbind enum groups = Yes

# sudo -u srmd\\hlaging bash -c 'cd it'
bash: line 0: cd: it: Keine Berechtigung



Wenn template shell nicht auf eine Shell zeigt, wàre das auch
vollkommen in Ordnung. Ist ein $HOME eigentlich zwingend für die bash?

Übrigens spare ich mir das Rumgewürge mit \\ indem ich
winbind separator = / setze.


PS: Wer schreibt um 0314h noch im Usenet? ;-)

<) .--.
)#=+ '
/## | .+. Liebe Grüsse,
,,/###,|,,,,,,|,,,, Michael

Ähnliche fragen