Zusammenhang von id, wbinfo, net groupmap und getent auf einem member server

07/07/2008 - 19:02 von Hauke Laging | Report spam
Moin,

ob ich wohl jemals verstehen werde, wie group mapping auf einem member server funktioniert...?

Es geht darum, ob und wie der member server die Zugehörigkeit von Domànenbenutzern zu Domànengruppen erkennt.

Auf dem PDC (auch samba) gibt es den Linuxuser hlaging und die Linuxgruppe it, der hlaging angehört.

auf dem PDC:
# id hlaging
uid33() gid0(users) Gruppen=0(root),1601(dom_admins),1500(it),10000(BUILTIN\administrators)

Wo auch immer der letzte Eintrag herkommen mag.

# net groupmap list verbose ntgroup=it
it
SID : S-1-5-21-1980892967-3111337136-923501229-1001
Unix gid : 1500
Unix group: it
Group type: Domain Group
Comment : Domain Unix group

Nach meinem Verstàndnis - das daran krankt, dass weder mein Buch noch das samba-Howto sich mit den Unterschieden zwischen PDC und member server befassen - sollten nun alle Rechner, die in der Domàne sind, wissen, dass srmd\hlaging zur Gruppe srmd\it gehört.

Aber:

auf dem member server:

# id srmd\\hlaging
uid004(SRMD\hlaging) gid004(SRMD\domain users) Gruppen004(SRMD\domain users)

# net groupmap list
Administrators (S-1-5-32-544) -> BUILTIN\administrators
Users (S-1-5-32-545) -> BUILTIN\users

Aber:
# wbinfo -g
BUILTIN\administrators
BUILTIN\users
SRMD\it
[...]

# getent group srmd\\it
SRMD\it:x:10007:SRMD\administrator,SRMD\appel,SRMD\hlaging


Es funktioniert auch. srmd\hlaging kann auf ein Verzeichnis mit diesen Rechten schreiben:
# l -d it
drwxrwx+ 12 SRMDoot SRMD\it 4,0K 7. Jul 17:12 it/

Die neue Datei gehört dann auch srmd\hlaging.

Man könnte darin also ein rein kosmetisches Problem sehen, aber das Durcheinander nervt mich schon. Der member server hat doch ein (von winbind angelegtes) group mapping. Warum zeigt er das nicht an? Es kann doch nicht Sinn der Sache sein, die Gruppen auf jedem member server manuell anzulegen. Und wer weiß, was dann wieder passiert... hab's nicht ausprobiert.

Bezeichnet net groupmap etwa nur die mappings, die auf der konkreten Maschine gelten (also nicht im Sinne der rechnerindividuellen winbind-idmaps)?


Für jede Aufklàrung dankbar.
Auf beiden Rechnern: samba-3.0.26a-3.7 (OS10.3)


CU

Hauke
 

Lesen sie die antworten

#1 Michael Liebl
08/07/2008 - 17:37 | Warnen spam
Am Montag, den 07. Juli 2008 schrubte Hauke:

winbind angelegtes) group mapping. Warum zeigt er das nicht an? Es
kann doch nicht Sinn der Sache sein, die Gruppen auf jedem member



Ich weiss nicht ob es hilft, aber ist auf dem Member
winbind enum users = Yes
winbind enum groups = Yes
eingestellt?

Falls ja, dann weiss ich grad auch nichts dazu. :-/

<) .--.
)#=+ '
/## | .+. Liebe Grüsse,
,,/###,|,,,,,,|,,,, Michael

Ähnliche fragen