[gelöst] - Samba,Groupmap,LDAP

Hallo Forum !!!

ich weiß das Thema groupmap ist einige mal schon durchgekaut worden.
Wir haben vorher einen suse 9.2 PDC Server am laufen gehabt da hat das groupmap auch super gefunkt. (ohne ldap)

seit 2 Wochen haben wir aber einen SLES9 Server mit Userauth.mit LDAP. Funkt soweit auch sehr gut.
Nur leider habe ich keine Ahnung wie das mit den Groupmaping funktioniert.

mit den Befehl

net groupmap list
testuser (S-1-5-21-3611588924-3110719910-2597726666-3001) -> testuser


sehe ich nur das. ???

Normal schaut das anders aus.

ich habe noch keine Gruppe gemapt.

Ich stehe irgendwie voll an da ich nicht weiß wo der Fehler ist. LDAP ???

Habe schon in diverse Forums,Google usw gesucht aber nicht wirklich etwas dazu gefunden.

Vielleicht hat wer einen Tip für mich was ich falsch gemacht habe.


edit Mod: auf gelöst gesetzt 18.11.05

Link zu LDAP
http://de.linwiki.org/index.php/LDAP#Aufbau_eines_LDAP_Verzeichnisses

Hast Du die alte Samba-Konfiguration noch gesichert?
Wenn Du diese mit der neuen vergleichst - bzw hier beide postest, kommt man schneller an den Fehler ran.

hy

leider ist die festplatte des suse 9.2 eingegangen.
aber ich habe sicher noch eine sicherung.

sobald ich die conf gefunden habe poste ich sie

danke fürs erste mal

andre

Die Ausgabe von "net groupmap list" ist normal. Hier meine:

Domainadmins (S-1-5-21-189899456-1998658512-3387802546-2025) -> Domainadmins
Domainusers (S-1-5-21-189899456-1998658512-3387802546-2027) -> Domainusers
Domainguests (S-1-5-21-189899456-1998658512-3387802546-2029) -> Domainguests
Domainhosts (S-1-5-21-189899456-1998658512-3387802546-2109) -> Domainhosts

Zum Vergrößern anklicken....

Was passiert denn wenn Gruppe gemapt wird?

Hat hier jemand LDAP gerufen ... ?

Wir haben jedenfalls hier auch ein LDAP Forum .... *gg*

Dafür brauchen wir hier keinen Eintrag aus Wikipedia ... ;-)

Wie dem auch sei, auch das Samba Groupmapping wird in Samba 3 in LDAP gespeichert, wenn Du das samba3.schema eingebunden hast und Du das Samba auch richtig mit LDAP verbunden hast.

Samba erkennt das Groupmapping z.B auch wenn Du in LDAP in einem Eintrag für eine Linux/Posix Group die ObjectClass SambaGroupMapping hinzufügst und die SambaGroupId richtig vergibst.


Das Du allerdings nur diesen einen Eintrag hast ist wirklich nicht normal ...

Das Problem ist vermutlich aber nicht bei LDAP als solches zu suchen , höchsten in der richtigen Anbindung von Samba an LDAP, wobei die SLES da immer ein wenig aus der Reihe tanzt.

Hast Du ein Update für die SLES gemacht ???
Die LDAP-Samba-Yast Geschichte ist nämlich nicht wirklich Toll in der Basisversion ...


So long

ThomasF

Hallo


also meine gruppe schaut so aus

dn: cn=testgruppe,ou=group,dc=cts,dc=lokal
cn: testgruppe
displayName: testgruppe
gidNumber: 1000
objectClass: top
objectClass: namedObject
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-3001


und so schaut die smb.conf aus:

# Global parameters
[global]
workgroup = CTS
update encrypted = Yes
map to guest = Bad User
passdb backend = ldapsam:ldap://localhost
printcap cache time = 750
printcap name = cups
add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.ycp %m$
logon script = smbuser.bat
logon path = \\%L\profiles\.msprofile
logon drive = z:
logon home = \\%L\%U\.9xprofile
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
ldap admin dn = cn=Administrator,dc=cts,dc=lokal
ldap group suffix = ou=group
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap suffix = dc=cts,dc=lokal
ldap ssl = no
ldap user suffix = ou=people
idmap backend = ldap:ldap://localhost
printer admin = @ntadmin, root, administrator
cups options = raw
include = /etc/samba/dhcp.conf


andre

Hallo Andre,

mach eine Sicherheitskopie von der config Datei, und setze mal alle LDAP - Einstellungen auf Standard zurück.
Dann nimmst Du die Einstellungen fürs groupmapping so wie gewohnt vor. Ich denke das könnte funktionieren, da ja die Konfigurationsdatei eigentlich kompatibel ist, soweit die Anwendungen vorhanden sind.
Du brauchst Samba nicht neu starten nach ca. 30 Sekunden aktualisiert sich die neu gespeicherte config Datei von alleine. Das heißt, Du kannst im laufenden Betrieb die Veränderung vornehmen. Bei Clients die verbunden sind halten sich die Einstellungen. Nur bei neuangemeldeten Clients sind die Einstellungen aktualisiert.
Sollte das nicht klappen, oder es ruft Störungen im Netzwerk hervor kannst Du problemlos sofort wieder die Config-Datei überschtreiben. Und wir werden hier weiter nach einem Weg suchen.
@ThomasF: Sorry, jetzt weiß ich dass es Dein Forum gibt, und setze mich gerade mit LDAP auseinander. Danke für den Hinweis.

Hallo

ich glaube ich habe es.

ich habe eine neue Gruppe angelegt

schaut so aus.

dn: cn=domadmin,ou=group,dc=cts,dc=lokal
cn: testgruppe
displayName: domadmin
gidNumber: 1000
objectClass: top
objectClass: namedObject
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-512


habe einen benutzer zur gruppe domadmin hinzugefügt und tja es funkt.

net goupmap list schaut so aus

domadmin (S-1-5-21-3611588924-3110719910-2597726666-512) -> domadmin

meine vorgangsweise war diese

ich habe eine gruppe übers yast angelegt.

der schaute dann so aus

dn: cn=domadmin,ou=group,dc=cts,dc=lokal
cn: testgruppe
displayName: domadmin
gidNumber: 1000
objectClass: top
objectClass: namedObject
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-3611588924-3110719910-2597726666-3003

und dann habe ich die 3003 mit 512 ersetzt.(mit GQ)

Ich glaube das stimmt so oder ???


andre

hallo

meine frage ist noch wie stellt sich die sambaSID zusammen ???

wie funktioniert das wenn ich zb, 2gruppen brauche (buchhaltung und verkauf) für domain users

kann ich bei 2 gruppe die gleiche sambaSID eintragen (513)

andre

Die Samba ID setzt sich aus zwei Teilen zusammen. Zum einen die SID der Domäne und zum anderen die RID. Die RID ist der relativ Identifier der das Objekt in der Domäne eindeutig macht. Die RID wird auf verschieden Arten errechnet je nachdem ob du ein Gruppen oder Benutzerobjekt erzeugst. Die smbldap-tools und der phpldapadmin machen das so:
Für User "uid * 2 +1000"
Für Gruppen "gid * 2 + 1001"
Dadurch kann es nicht zu Konflikten zwischen Benutzern und Gruppen kommen. Wenn du also eine Gruppe mit der GID 512 anlegst, wir daraus die RID 2025. Deine SID der Domäne ist "S-1-5-21-3611588924-3110719910-2597726666" also hat die Gruppe die eindeutige SID"S-1-5-21-3611588924-3110719910-2597726666-2024" Für einen PDC mußt du die folgenden GID's erstellen:
Domainadmins 512
Domainuser 513
Domainguest 514
Domainhosts (je nach Anleitung 515 oder 553) In verschieden Dokumentationen findest du entweder 515 oder 553, beides geht ;-)
Wenn du dann einen Win Client in die Domäne aufnimmst, wird die Gruppe Domainadmins in die Gruppe der "lokalen Administratoren" un die Gruppe Domainuser in die Gruppe der "lokalen Benutzer" aufgenommen. Der Name der Gruppen spielt dabei keine Rolle.

Wenn du noch mehr Gruppen benötigst muss SID+RID eindeutig sein!

Hallo


das heißt im klartext das das nicht stimmt was ich gemacht habe oder ???


andre

Wenn das deine Domainadmins sein sollen, dann ist das falsch. Schau dir doch mal den phpldapadmin an, das Tool ist browserbasiert und läuft ganz gut. Damit kannst du die Objekte gut anlegen. Thomas hat ein paar gute links auf Grafischen Tools angegeben. Ich habe zu dem Thema LDAP mit SAMBA und weiteren Diensten einen workshop erstellt. Der soll demnächst auf meiner Web-Seite veröffentlicht werden. Wenn du willst schicke ich dir mal ein vorab Version, dann brauche ich nur dein e-mail Adresse. Entweder du schickst mit ein PN oder geht auf meine Web-Seite und schickst mir ne mail.

Gruß

Stefan

hallo stka

bez.den phpldapadmin

wenn ich den übern browser aufrufe bekomme ich diese fehlermeldung


Fatal error: Call to undefined function: session_module_name() in /srv/www/htdocs/phpldapadmin-0.9.7/index.php on line 136

Weiß wer was da falsch ist

andre

hallo stka

bez.den phpldapadmin

wenn ich den übern browser aufrufe bekomme ich diese fehlermeldung


Fatal error: Call to undefined function: session_module_name() in /srv/www/htdocs/phpldapadmin-0.9.7/index.php on line 136

Weiß wer was da falsch ist

andre

Es gibt ein php Modus mit dem Namen session, das musst du installieren. Such mal im yast->software-neu software nach dem Begriff session

hallo stka

bez.den phpldapadmin

wenn ich den übern browser aufrufe bekomme ich diese fehlermeldung


Fatal error: Call to undefined function: session_module_name() in /srv/www/htdocs/phpldapadmin-0.9.7/index.php on line 136

Weiß wer was da falsch ist

andre

Nutzt Du PHP4 oder PHP5 ???

Wenn es PHP4 ist schau mal nach ob php4-session installiert ist ...

So long

ThomasF

hallo ThomasF

php 4 nutze ich

php4-session war nicht installiert habe es nachinstalliert aber es funkt noch nicht

andre

Hallo ThomasF

tschuldige mein Fehler

Fehlermeldund ist weg aber leider sehe ich jetzt nur eine leere Seite

mfg Andre

hast du dir Rechte richtig gesetzt. Der user wwwrun muss bei allen Dateien/Verzeichnissen Besitzer sein und r+x Recht haben.
Wenn das dann noch nicht klappt, schau mal ob was in der Log-Datei des Apache steht. Du kannst auch mal den Inhalt der Datei config.php posten, aber nur den relevanten Teil bitte!!