2 x ROOT

Hallo:

irgendwie habe ich an unserem SAMBA-DOMAIN-Kontroller den ROOT zweimal. Einmal im LDAP-Verzeichnis (UIDNumber=0) und einmal lokal als LINUX-ROOT.

Der Befehl "getent group" bringt mir LINUX- und LDAP-Benutzer (und Gruppen).

Lösche ich den LDAP-ROOT kann ich mich nicht mehr auf LINUX-Ebene am PDC anmelden.

--------------------------------------------
/etc/nsswitch.conf:

passwd: files ldap
group: files ldap
shadow: files ldap

hosts: files dns
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files nis
aliases: files
-------------------------------------------------

Der zweite ROOT ist eígentlich überflüsig, oder?

Gruß
t.

bringt ein den user auch zweimal?
und wenn du den ldap-root löschst, isses auch ganznormal, dass der echte root auch weg ist. Immerhin löscht er ja dann die UID 0, und die trifft auf beide zu :shock:

pdc:~ # cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash

Ich denke, ich sollte beim LDAP-ROOT die UIDNumber=0 umbenennen und zu einem normalen User machen. Der LDAP-User "Administrator" sollte dann die UIDNumber=0 erhalten. Dann sollte ich den ROOT problemlos aus dem LDAP löschen können.

Ich versuchs mal so.
Gruß
t.

einem user die uid 0 zu geben, is grundsätzlich erstmal ne schlechte idee, und den echten root dann löschen zu wollen, eine noch VIEL schlechtere!

Wenn du samba gegen LDAP authentifizieren willst, brauchst du im LDAP einen "fake-root" mit UID=0 und GID=0, der aber nihct root heißen muss. Diesen Benutzer benötigst du um Maschinen in die Domäne aufnehmen zu können. Du legst ein Maschinenkonto im LDAP an dann gehst du an die Windows Maschine und wechselst in die Domäne, jetzt wird ein Benutzer und das dazugehörige Passwort abgefragt. Das MUSS dein "fake-root" sein. Du solltest dem "fake-root" die Shell "/bin/false" zuweisen, dann kann sich niemand mit dem Account anmelden. Wenn du dich doch mit dem Account anmeldest und dann eine Dateisystemeintrag erzeugst, wird dieser immer "root" gehöhren, da lokale Benutzer, sprich die aus der passwd immer vorrang haben. Das kannst du auch mit Gruppen testen. Leg mal eine Gruppe (mit groupadd) mit dem Namen einer Gruppe aus dem LDAP an, Jetzt mach mal "chgrp" auf ein Verzeichnis und dann "ls -n" und du wirst sehen es ist die lokale Gruppe aus "/etc/group". Deshalb ist es normal das du zwei mal den "root" angezeigt bekommst wenn du mit "getent group" zwei mal den "root" angezeigt bekommst. Das Kommando wertet immer nur die UID aus nicht den Namen. Den bedenke "Namen sind was für Grabsteine und nicht für Betriebssysteme"

@rm -rf / Ich kann so viele Benutzer im LDAP mit UID=0 anlegen wie ich will, wenn ich einen aus dem LDAP lösche, wird auch nur der eine gelöscht, da LDAP die Benuter über den DN verwaltet und der ist IMMER eindeutig. Auch wird nie ein lokaler Benutzer gelöscht wenn ich einen LDAP Benutzer lösche, EGAL welchge UID der Benutzer hat.

und was für nen zweck hat dann die UID??? Wenn sie garnix mir dem system zu tun hat, dann ist sie ja mal sowas von sinnlos....

Das die UID mit dem System nichts zu tun hat habe ich nicht gesagt. Nur wenn du LDAP einsetzt gibt es zwei Benutzerverwaltungen die absolut getrennt sind. einmal LDAP, dort werden die Benutzer mit "ldapadd" und "ldapdelete" verwaltet und dazu mit dem "DN" angesprochen. Das sind dann Benutzer die hinterher im gesamten Netz, über den LDAP-Client, nutzbar sind. Also ne Art "globale Benutzer" die Benutzer in der passwd werden über "useradd" und "userdel" verwaltet und sind nur lokal nutzbar.
Das System nutzt schon weiter die UID und GID nur kommen die jetzt aus zwei verschiedenen Datenbanken. Sobald du LDAP Nutzt, werde ja auch keine Benutzer mehr in der passwd angelegt, außer Systembenutzern, also Benutzer die für lokale Dienste verwendet werden.