Secondary Group bei daemon funktioniert nicht.

02/06/2011 - 19:49 von Peter Mairhofer | Report spam
Hallo,

Ich habe folgendes Problem: Ein Daemon (zarafa-server) làuft nicht mit
root-Rechten sondern unter dem User "zarafa" (run_as_user = zarafa,
run_as_group = zarafa):

$ ps aux | grep zarafa
zarafa 7347 0.0 0.4 138520 11692 ? SLl 15:50 0:02
/usr/bin/zarafa-server -c /etc/zarafa/server.cfg

Dieser Daemon benötigt nun aber Rechte unter
/var/run/samba/winbindd_privileged, dessen Permissions sind:

# ls -l /var/run/samba | grep winbindd_privileged
drwxr-x 2 root winbindd_priv 4096 2. Jun 15:49 winbindd_privileged

Naheliegend ist nun folgendes:

adduser zarafa winbindd_priv
# grep winbindd_priv /etc/group
winbindd_priv:x:109:zarafa

Mit "su" funktioniert das auch:

# su zarafa -s /bin/sh -c 'ls -l /var/run/samba/winbindd_privileged'
srwxrwxrwx 1 root root 0 2. Jun 15:49 pipe

Aber mit dem daemon nicht! Trotz Neustart des daemons erhalte ich
folgende Fehlermeldung im syslog:

ntlm_auth: [2011/06/02 15:46:56.894499, 0]
utils/ntlm_auth.c:600(winbind_pw_check)
ntlm_auth: Login for user [DC]\[user]@[CLIENT] failed due to [winbind
client not authorized to use winbindd_pam_auth_crap. Ensure permissions
on /var/run/samba/winbindd_privileged are set correctly.]
ntlm_auth: [2011/06/02 15:46:56.897329, 0]
utils/ntlm_auth.c:896(manage_squid_ntlmssp_request_int)
ntlm_auth: NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Woran kann das liegen?

LG
Peter
 

Lesen sie die antworten

#1 Peter Mairhofer
03/06/2011 - 19:20 | Warnen spam
Am 02.06.2011 19:49, schrieb Peter Mairhofer:
Hallo,

Ich habe folgendes Problem: Ein Daemon (zarafa-server) làuft nicht mit
root-Rechten sondern unter dem User "zarafa" (run_as_user = zarafa,
run_as_group = zarafa):

$ ps aux | grep zarafa
zarafa 7347 0.0 0.4 138520 11692 ? SLl 15:50 0:02 /usr/bin/zarafa-server
-c /etc/zarafa/server.cfg

Dieser Daemon benötigt nun aber Rechte unter
/var/run/samba/winbindd_privileged, dessen Permissions sind:

# ls -l /var/run/samba | grep winbindd_privileged
drwxr-x 2 root winbindd_priv 4096 2. Jun 15:49 winbindd_privileged

Naheliegend ist nun folgendes:

adduser zarafa winbindd_priv
# grep winbindd_priv /etc/group
winbindd_priv:x:109:zarafa

Mit "su" funktioniert das auch:

# su zarafa -s /bin/sh -c 'ls -l /var/run/samba/winbindd_privileged'
srwxrwxrwx 1 root root 0 2. Jun 15:49 pipe

Aber mit dem daemon nicht! Trotz Neustart des daemons erhalte ich
folgende Fehlermeldung im syslog:

ntlm_auth: [2011/06/02 15:46:56.894499, 0]
utils/ntlm_auth.c:600(winbind_pw_check)
ntlm_auth: Login for user [DC]\[user]@[CLIENT] failed due to [winbind
client not authorized to use winbindd_pam_auth_crap. Ensure permissions
on /var/run/samba/winbindd_privileged are set correctly.]
ntlm_auth: [2011/06/02 15:46:56.897329, 0]
utils/ntlm_auth.c:896(manage_squid_ntlmssp_request_int)
ntlm_auth: NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Woran kann das liegen?



Hat wirklich niemand eine Ahnung? Wie kann das sein?

Das Problem ist komplett Linux-related und hat prinzipiell nichts mit
Zarafa zu tun ...

Ich bin dem nun noch mit strace nachgegangen:

# strace -f -o /tmp/zarafa.log /usr/bin/zarafa-server
# ps aux |grep zarafa-server
zarafa 22500 [...] /usr/bin/zarafa-server
# id zarafa
uid2(zarafa) gid1(zarafa) Gruppen9(winbindd_priv),121(zarafa)

Eindeutig! Daemon làuft unter user zarafa und dieser ist Mitglied von
winbindd_priv!!!

Doch ein grep in /tmp/zarafa.log:

25598 lstat64("/var/run/samba/winbindd_privileged",
{st_mode=S_IFDIR|0750, , ...}) = 0
25598 lstat64("/var/run/samba/winbindd_privileged/pipe", 0xbfbd443c) =
-1 EACCES (Permission denied)

Aber das gibts nicht !!!!1111!elf!:

# su -s /bin/sh -c 'stat /var/run/samba/winbindd_privileged/pipe' zarafa
File: „/var/run/samba/winbindd_privileged/pipe“
Size: 0 Blocks: 0 IO Block: 4096 Socket
Device: 12h/18d Inode: 3040280 Links: 1
Access: (0777/srwxrwxrwx) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2011-06-03 19:08:34.000000000 +0200
Modify: 2011-06-03 19:08:34.000000000 +0200
Change: 2011-06-03 19:08:34.000000000 +0200

LG
Peter

Ähnliche fragen