Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

2 x ROOT

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
tomlif
Member
Member
Beiträge: 93
Registriert: 14. Jun 2004, 11:56

2 x ROOT

Beitrag von tomlif »

Hallo:

irgendwie habe ich an unserem SAMBA-DOMAIN-Kontroller den ROOT zweimal. Einmal im LDAP-Verzeichnis (UIDNumber=0) und einmal lokal als LINUX-ROOT.

Der Befehl "getent group" bringt mir LINUX- und LDAP-Benutzer (und Gruppen).

Lösche ich den LDAP-ROOT kann ich mich nicht mehr auf LINUX-Ebene am PDC anmelden.

--------------------------------------------
/etc/nsswitch.conf:

passwd: files ldap
group: files ldap
shadow: files ldap

hosts: files dns
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files nis
aliases: files
-------------------------------------------------

Der zweite ROOT ist eígentlich überflüsig, oder?

Gruß
t.
rm -rf /

Beitrag von rm -rf / »

bringt ein

Code: Alles auswählen

cat /etc/passwd | grep root
den user auch zweimal?
und wenn du den ldap-root löschst, isses auch ganznormal, dass der echte root auch weg ist. Immerhin löscht er ja dann die UID 0, und die trifft auf beide zu :shock: :D
tomlif
Member
Member
Beiträge: 93
Registriert: 14. Jun 2004, 11:56

Beitrag von tomlif »

pdc:~ # cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash

Ich denke, ich sollte beim LDAP-ROOT die UIDNumber=0 umbenennen und zu einem normalen User machen. Der LDAP-User "Administrator" sollte dann die UIDNumber=0 erhalten. Dann sollte ich den ROOT problemlos aus dem LDAP löschen können.

Ich versuchs mal so.
Gruß
t.
rm -rf /

Beitrag von rm -rf / »

einem user die uid 0 zu geben, is grundsätzlich erstmal ne schlechte idee, und den echten root dann löschen zu wollen, eine noch VIEL schlechtere!
stka
Moderator
Moderator
Beiträge: 3366
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka »

Wenn du samba gegen LDAP authentifizieren willst, brauchst du im LDAP einen "fake-root" mit UID=0 und GID=0, der aber nihct root heißen muss. Diesen Benutzer benötigst du um Maschinen in die Domäne aufnehmen zu können. Du legst ein Maschinenkonto im LDAP an dann gehst du an die Windows Maschine und wechselst in die Domäne, jetzt wird ein Benutzer und das dazugehörige Passwort abgefragt. Das MUSS dein "fake-root" sein. Du solltest dem "fake-root" die Shell "/bin/false" zuweisen, dann kann sich niemand mit dem Account anmelden. Wenn du dich doch mit dem Account anmeldest und dann eine Dateisystemeintrag erzeugst, wird dieser immer "root" gehöhren, da lokale Benutzer, sprich die aus der passwd immer vorrang haben. Das kannst du auch mit Gruppen testen. Leg mal eine Gruppe (mit groupadd) mit dem Namen einer Gruppe aus dem LDAP an, Jetzt mach mal "chgrp" auf ein Verzeichnis und dann "ls -n" und du wirst sehen es ist die lokale Gruppe aus "/etc/group". Deshalb ist es normal das du zwei mal den "root" angezeigt bekommst wenn du mit "getent group" zwei mal den "root" angezeigt bekommst. Das Kommando wertet immer nur die UID aus nicht den Namen. Den bedenke "Namen sind was für Grabsteine und nicht für Betriebssysteme" :wink:

@rm -rf / Ich kann so viele Benutzer im LDAP mit UID=0 anlegen wie ich will, wenn ich einen aus dem LDAP lösche, wird auch nur der eine gelöscht, da LDAP die Benuter über den DN verwaltet und der ist IMMER eindeutig. Auch wird nie ein lokaler Benutzer gelöscht wenn ich einen LDAP Benutzer lösche, EGAL welchge UID der Benutzer hat.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher
rm -rf /

Beitrag von rm -rf / »

und was für nen zweck hat dann die UID??? Wenn sie garnix mir dem system zu tun hat, dann ist sie ja mal sowas von sinnlos....
stka
Moderator
Moderator
Beiträge: 3366
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka »

Das die UID mit dem System nichts zu tun hat habe ich nicht gesagt. Nur wenn du LDAP einsetzt gibt es zwei Benutzerverwaltungen die absolut getrennt sind. einmal LDAP, dort werden die Benutzer mit "ldapadd" und "ldapdelete" verwaltet und dazu mit dem "DN" angesprochen. Das sind dann Benutzer die hinterher im gesamten Netz, über den LDAP-Client, nutzbar sind. Also ne Art "globale Benutzer" die Benutzer in der passwd werden über "useradd" und "userdel" verwaltet und sind nur lokal nutzbar.
Das System nutzt schon weiter die UID und GID nur kommen die jetzt aus zwei verschiedenen Datenbanken. Sobald du LDAP Nutzt, werde ja auch keine Benutzer mehr in der passwd angelegt, außer Systembenutzern, also Benutzer die für lokale Dienste verwendet werden.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher
Antworten