[gelöst] - Samba,Groupmap,LDAP

Andre · 5 Nov. 2005

hallo stka

also denn phpldapadmin kann ich aufrufen aber leider nur mitn anonymen account (habe den anonymen zur zeit zugelassen)

hier meine conf.

$config->custom->session['blowfish'] = 'true';
$config->custom->jpeg['tmpdir'] = "/tmp";
$i=0;
$ldapservers = new LDAPServers;
$ldapservers->SetValue($i,'server','name','LDAP Server');
$ldapservers->SetValue($i,'server','host','ctserver.cts.lokal');
$ldapservers->SetValue($i,'server','port','389');
$ldapservers->SetValue($i,'server','base',array('dc=cts,dc=lokal'));
$ldapservers->SetValue($i,'server','auth_type','cookie');
$ldapservers->SetValue($i,'login','dn','cn=Administrator,dc=cts,dc=lokal');
$ldapservers->SetValue($i,'login','pass','passwort');
$ldapservers->SetValue($i,'server','tls',false);
$ldapservers->SetValue($i,'appearance','password_hash','md5');
$ldapservers->SetValue($i,'login','anon_bind',true);

vielleicht habe ich ja irgendwo einen fehler

mfg andre

stka · 5 Nov. 2005

Hallo Andre,

du hast den phpldapadmin in der Version 0.97 installiert oder? Ich verwende noch die Version 0.96c, da ich mit der Version 0.97 auch so meine Problem hatte. Aber es fällt mir hier schon eins auf:

$config->custom->session['blowfish'] = 'true';

dazu gibt es normaler Weise auch noch einen Eintrag "blowfish_secret" damit das mit dem verschlüsselten Passwort überhaupt klappt.
Dann steht bei dir:

$ldapservers->SetValue($i,'login','pass','passwort');

Hier sollte das Passwort dann verschlüsselt stehen, das kannst du aus der slapd.conf kopieren. Das kann schon der Grund sein warum du dich als admin nicht anmelden kannst.

Gruß

Stefan

Andre · 9 Nov. 2005

Hallo stka

also bez. den phpldapadmin da funkt irgendwie nicht wirklich
ist ja auch egal. habe eh den gq client

bez den groupmaping habe ich noch eine frage.

meine gruppe schaut so aus. (soll aber domusers sein)

dn: cn=ctuser,ou=group,dc=cts,dc=lokal
cn: ctuser
gidNumber: 1000
displayName: ctuser
objectClass: top
objectClass: namedObject
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-3001

und meine user schauen so aus

dn: uid=andre,ou=people,dc=cts,dc=lokal
cn: Andreas testuser
givenName: Andreas
homeDirectory: /home/andre
loginShell: /bin/bash
shadowInactive: -1
shadowMax: 99999
shadowMin: 0
shadowWarning: 7
sn: testuser
uid: andre
uidNumber: 1000
gidNumber: 1000
shadowLastChange: 13079
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: sambaSamAccount
sambaAcctFlags: [U ]
sambaLMPassword: 455A3D0FB61240DAAAD3B435B51404EE
sambaNTPassword: 84E1F352AF3062825DE60FAEEAE65B9E
sambaPwdCanChange: 1130076206
sambaPwdLastSet: 1130076206
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-3000
userPassword: {crypt}AWwsfz7ISZjMw
sambaPrimaryGroupSID: S-1-5-21-3611588924-3110719910-2597726666-3001

was ist da falsch.

wo muß ich die gid 513 einfügen.
fählt mir ein eintrag oder ist einer falsch.
hast du da eine lösung

mfg andre

stka · 9 Nov. 2005

Bezüglich phpldapadmin, nimm mal die Version 0.96

Was deine Gruppe angeht dein user hat die:

sambaPrimaryGroupSID: S-1-5-21-3611588924-3110719910-2597726666-3001

Der letzte Teil ist der RID (3001) der ist falsch dort sollte die 513*2+1001 also 2027 stehen. Vorraussetzung ist natürlich, dass dieses Groupmapping auch existiert.

Andre · 9 Nov. 2005

hallo stka

also ich habe einfach mitn yast den benutzer und die gruppe angelegt.beim sles gibt es dann einen punkt wo man den benutzer gleich auch als samba user anlegen kann.

also die sid hat alles yast vergeben.

meine frage ist auch noch diese.

die gruppe hat ja auch 3001

muß ich diese auch ändern wie du es geschrieben hast ???

dann habe ich noch eine dumme frage.
wo steht im ldap verzeichnis welcher user zu welcher gruppe gehört.
ich dachte das ist die sambaPrimaryGroupSID ???

Vorraussetzung ist natürlich, dass dieses Groupmapping auch existiert.

das ist ein Punkt den ich nicht weiß???

habe mir zwar das buch LDAP gekauft aber v. Samba und LDAP steht nicht wirklich viel drin.

mfg andre

stka · 9 Nov. 2005

Mit
ldapsearch -x -h localhost "(objectclass=sambagroupmapping)"
sollten dir alle Groupmappings angezeigt werden.
Wenn ein Benutzer zu einem Groupmapping gehören soll, stecke ihn einfach in die Posixgruppe ;-). Nach einer erneuten Anmeldung des Benutzers kannst du mit "id" alle Infos' über Gruppenzugehörigkeit sehen. Denk immer dran, nur was unter Linux nutzbar ist kannauch unter Samba verwendet werden. Das gilt für Rechte genauso wie für Gruppenzugehörigkeiten.
Wenn du Benutzer unter Yast verwalten willst, kann ich dir leider nicht sagen wie es sich dort mit den Groupmappings verhält, da ich diese Option nie verwendet habe.

Andre · 9 Nov. 2005

hallo stka,

ich habe es geschaft. juhu
habe eine vorlage im netz von den gruppen gefunden.

also meine gruppe schaut jetzt so aus

dn: cn=domadmin,ou=group,dc=cts,dc=lokal
cn: domadmin
gidNumber: 512
displayName: Domain Admins
objectClass: top
objectClass: namedObject
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-512
description: Netbios Domain Administrators

und mein User schaut jetzt so aus.

dn: uid=admin,ou=people,dc=cts,dc=lokal
cn: Administrator
homeDirectory: /home/admin
loginShell: /bin/false
shadowInactive: -1
shadowMax: 99999
shadowMin: 0
shadowWarning: 7
sn: testuser
uid: admin
uidNumber: 1006
gidNumber: 512
shadowLastChange: 13079
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: sambaSamAccount
sambaAcctFlags: [U ]
sambaLMPassword: 455A3D0FB61240DAAAD3B435B51404EE
sambaNTPassword: 84E1F352AF3062825DE60FAEEAE65B9E
sambaPwdCanChange: 1130076206
sambaPwdLastSet: 1130076206
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-3012
userPassword: {crypt}AWwsfz7ISZjMw
sambaPrimaryGroupSID: S-1-5-21-3611588924-3110719910-2597726666-3007

und siehe da es funkt

danke für alles danke

mfg andre