Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba Ldap Gruppen/Berechtigungen
Hab eine Frage zur Samba LDAP Gruppenverwaltung.
Wenn ich einen Benutzer im LDAP Vereichnis per ldif anlege, kann ich mich von einem Windows Client mit diesem Benutzer am Samba Server anmelden, ohne das der Benutzer local auf meinem Linux System existiert....
Frage 1:
Ist diese Vorgehensweise üblich, oder fügt man den local angelegten Benutzer via pdbedit in das LDAP Verzeichnis ein ?
Frage 2:
Welche Möglichkeiten der Gruppenverwaltung bzw. Berechtigungen gibt es im LDAP Verzeichnis ?
Hab auf diese Fragen bisher keine Antwort gefunden...
Gruß
Peter
Hi!
Du solltest ein Buch schreiben "Mein Kampf (mit LDAP)".
Du hast den Sinn von LDAP nicht verstanden!
Wenn das LDIF korrekt ist (posixAccount & sambaSamAccount" geht's natürlich!
Aber dann hat der Benutzer auch einen Linux Systemaccount und der muss nicht lokal sein (Stichwort "zentrale Anmeldung")
Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS!
Rechte im LDAP gibt's nur für AccessControl.
Manx
O.K. hab glaube denn Sinn mehr verstanden als es in vielen Dokus aufgeführt ist und Du hast mir dabei sehr geholfen. Benutzer werden in LDAP definiert....so ist es gedacht...und nicht auch noch local angelegt...alles klar.
"Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS"
Posix Gruppen sind doch Linux Gruppen oder ? Bitte en Beispiel...
Rechte im LDAP gibt's nur für AccessControl.
Und wie wird die ACL angelegt ?
Gruß
Peter
Original geschrieben von pnuernbe
1.) "Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS"
Posix Gruppen sind doch Linux Gruppen oder ? Bitte en Beispiel...
2.) Rechte im LDAP gibt's nur für AccessControl.
Und wie wird die ACL angelegt ?
ad 1.)
Es gibt nicht nur die ObjectClass posixAccount sondern auch posixGroup was eine LiinuxSystemGruppe bezeichnet, die sich in den Dateirechten "User Group Others" (z.B rw-rw-rw) widerspiegelt.
Benutzer sind immer Mitglied einer (oder mehrerer) Gruppen. Bei LDAP ist es natürlich sinnvoll die Gruppen auch dort anzulegen.
ad 2.)
man slapd.access
Hier ein lesenswertes/lehrreiches Thema aus der Mailinglist (einfach dem Thread folgen)
http://www.openldap.org/lists/openldap-software/200209/msg00426.html
Grüße
Manx
Danke erst mal für Dein Betrag...Den Thread verfolge ich bei Zeit.
Hab noch ne Frage zu Deiner Antwort mit den Gruppen..
"Es gibt nicht nur die ObjectClass posixAccount sondern auch posixGroup was eine LiinuxSystemGruppe bezeichnet, die sich in den Dateirechten "User Group Others" (z.B rw-rw-rw) widerspiegelt.
Benutzer sind immer Mitglied einer (oder mehrerer) Gruppen. Bei LDAP ist es natürlich sinnvoll die Gruppen auch dort anzulegen."
Das jeder Benutzer in ner Gruppe ist usw... ist mir ja alles klar...Gruppen hab ich ja auch schon in LDAP angelegt...und den Benutzer eingefügt...nur wie kann ich dennder Gruppe auf UGO Rechte vergeben...das ist es...mein Problem..kan ja nicht einfach mit chmod oder so arbeiten...das geht doch nur mit localen Gruppen.
Glaub die Lösung ist ganz Nah...
Gruß
Peter
Hi!
Sicher kannst Du mit chmod arbeiten, wenn pam richtig konfiguriert ist, siehst Du ja die Benutzer mit "getent passwd" und die Gruppen mit "getent group".
Da ist kein Unterschied zw. lokal oder LDAP.
Manx
Wenn man das Groupmapping einrichtet (samba3, objectClass: sambaGroupMapping), dann kann man auch unter Windows, etwa mit dem Explorer, die Rechte einstellen.
Bedingungen:
Das kann natürlich nur der Eigentümer einer Datei.
Samba3 muss mit ACL-sipport übersetzt sein.
Das Dateisystem muss ACL unterstützen.
Siehe dazu auch das samba3-howto.
mamue
Das mit dem ACL Support ist wünschenswert, versuch ich aber erst wenn die anderen sachen richtig laufen. Trotzdem danke für den Tipp mamue.
Das mit pam war also der Schlüssel. Wusste, das ich mit getent passwd eine Liste aller Benutzer bzw. Gruppen auf dem Rechner anzeigen kann...und pam notwendig ist um LDAP User an meinem Linix anmelden zu lassen. Hatte eigentlich gedacht, es gibt villeicht noch ein LDAP internes Tool oder eine LDIF Eintrag...welches die Gruppenverwaltung realisiert, ohne pam einzusetzen.
So ist das ganze doch sehr umständlich. Muss erst Gruppen in LDAP Definieren...Pam Konfigurieren....Gruppenrechte verteilen...Benutzer per ldif in die Gruppe einfügen...
Versuch's einfach mal
Gruß
Peter :)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.