ThomasF
Hacker
Hi @all,
ich schlage mich gerade mit einer nicht zu verachtenden Herausforderung herum
Das Ziel ist es einen Linux Server ( Ubuntu Server 8.04 LTS ) einzurichten der sich an einer AD (Active Directory) authentifiziert.
Dieser Server soll als Mail- und File-Server (Samba und NFS ) dienen. Die Verbindung zum AD ( SFU 3.5) mit Hilfe von LDAP und Kerberos war dabei die kleinste Hürde.
Und da die Posix Seite ja funktioniert dachte ich der Samba wäre auch nicht weiter kompliziert
Kerberos sollte auch genutzt werden, also war "security = ADS" schon mal Pflicht.
Samba ohne winbind war aber keine gute Idee, ich weiß nicht woran genau es lag aber manchmal war eine Verbindung vom Client zum Server möglich und manchmal nicht, zudem stürzte Samba regelmäßig ab ( Port 139 war nicht mehr erreichbar )
Im nächsten Versuch Samba mit winbind, aber ohne Idmapping ( ohne idmap da ich in vorherigen Versuchen schon raus gefunden hatte das das Mapping die UIDs und GIDs vom Server ignoriert) ... das sah schon besser aus .... aber es stellt sich schnell heraus das die Rechtevergabe auf die Ordner und Dateien stark eingeschränkt war ( Nur UidNumber und primäre GID möglich ) und da wie erwähnt sowohl Windows als auch Linux Clients auf den gleichen Datenbestand zugreifen sollten ein unhaltbarer Zustand *fg*
Ich hatte mir mehr von der Option winbind nss info = sfu versprochen ...
Also doch einen idmap Bereich definieren ... z.B 1000-1099 für die UIDs und 2000-2099 für die GIDs
Das Problem nun war das der MS Server schon eine Weile lief und diverse User und Gruppen angelegt waren die auch schon produktiv arbeiten ... Über die SFU Attribute also schon verschiedene Nummern vergeben waren ...
Es kam wie es kommen musste ... Samba und Winbind neu gestartet ... und schon begann Winbind der Reihe nach UIDs und GIDs zu vergeben ... natürlich nicht so wie auf dem MS Server *grummel*
So und schon die nächste Ungereimtheit net usersidlist gibt die UIDs korrekt aus wie sie auch in der AD eingetragen sind ... sobald ich jedoch über einen Windows-Client einem Ordner oder einer Datei weitere Rechte vergebe ... also sage eine Gruppe hinzufügen die z.B nur lesen darf und ich diese Rechte mit getfacl überprüfe sehe eine völlig willkürliche gidNumber ...
Wenn jemand eine Lösung kennt ... immer her damit
Ich habe dies Problem "per Hand" behoben ... mit :
net idmap dump /var/lib/samba/winbindd_idmap.tdb > winbindd_idmap.dump
Die Datei editiert, also die korrekten GIDs eingetragen und dann mit net idmap restore zurückgespielt ...
Bitte um Kommentare
So long
ThomasF
ich schlage mich gerade mit einer nicht zu verachtenden Herausforderung herum
Das Ziel ist es einen Linux Server ( Ubuntu Server 8.04 LTS ) einzurichten der sich an einer AD (Active Directory) authentifiziert.
Dieser Server soll als Mail- und File-Server (Samba und NFS ) dienen. Die Verbindung zum AD ( SFU 3.5) mit Hilfe von LDAP und Kerberos war dabei die kleinste Hürde.
Und da die Posix Seite ja funktioniert dachte ich der Samba wäre auch nicht weiter kompliziert
Kerberos sollte auch genutzt werden, also war "security = ADS" schon mal Pflicht.
Samba ohne winbind war aber keine gute Idee, ich weiß nicht woran genau es lag aber manchmal war eine Verbindung vom Client zum Server möglich und manchmal nicht, zudem stürzte Samba regelmäßig ab ( Port 139 war nicht mehr erreichbar )
Im nächsten Versuch Samba mit winbind, aber ohne Idmapping ( ohne idmap da ich in vorherigen Versuchen schon raus gefunden hatte das das Mapping die UIDs und GIDs vom Server ignoriert) ... das sah schon besser aus .... aber es stellt sich schnell heraus das die Rechtevergabe auf die Ordner und Dateien stark eingeschränkt war ( Nur UidNumber und primäre GID möglich ) und da wie erwähnt sowohl Windows als auch Linux Clients auf den gleichen Datenbestand zugreifen sollten ein unhaltbarer Zustand *fg*
Ich hatte mir mehr von der Option winbind nss info = sfu versprochen ...
Also doch einen idmap Bereich definieren ... z.B 1000-1099 für die UIDs und 2000-2099 für die GIDs
Das Problem nun war das der MS Server schon eine Weile lief und diverse User und Gruppen angelegt waren die auch schon produktiv arbeiten ... Über die SFU Attribute also schon verschiedene Nummern vergeben waren ...
Es kam wie es kommen musste ... Samba und Winbind neu gestartet ... und schon begann Winbind der Reihe nach UIDs und GIDs zu vergeben ... natürlich nicht so wie auf dem MS Server *grummel*
So und schon die nächste Ungereimtheit net usersidlist gibt die UIDs korrekt aus wie sie auch in der AD eingetragen sind ... sobald ich jedoch über einen Windows-Client einem Ordner oder einer Datei weitere Rechte vergebe ... also sage eine Gruppe hinzufügen die z.B nur lesen darf und ich diese Rechte mit getfacl überprüfe sehe eine völlig willkürliche gidNumber ...
Wenn jemand eine Lösung kennt ... immer her damit
Ich habe dies Problem "per Hand" behoben ... mit :
net idmap dump /var/lib/samba/winbindd_idmap.tdb > winbindd_idmap.dump
Die Datei editiert, also die korrekten GIDs eingetragen und dann mit net idmap restore zurückgespielt ...
Bitte um Kommentare
So long
ThomasF