PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba Ldap Gruppen/Berechtigungen



pnuernbe
28.01.04, 10:22
Hab eine Frage zur Samba LDAP Gruppenverwaltung.
Wenn ich einen Benutzer im LDAP Vereichnis per ldif anlege, kann ich mich von einem Windows Client mit diesem Benutzer am Samba Server anmelden, ohne das der Benutzer local auf meinem Linux System existiert....

Frage 1:
Ist diese Vorgehensweise üblich, oder fügt man den local angelegten Benutzer via pdbedit in das LDAP Verzeichnis ein ?

Frage 2:
Welche Möglichkeiten der Gruppenverwaltung bzw. Berechtigungen gibt es im LDAP Verzeichnis ?


Hab auf diese Fragen bisher keine Antwort gefunden...

Gruß

Peter

[WCM]Manx
28.01.04, 11:12
Hi!

Du solltest ein Buch schreiben "Mein Kampf (mit LDAP)".
Du hast den Sinn von LDAP nicht verstanden!
Wenn das LDIF korrekt ist (posixAccount & sambaSamAccount" geht's natürlich!
Aber dann hat der Benutzer auch einen Linux Systemaccount und der muss nicht lokal sein (Stichwort "zentrale Anmeldung")
Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS!
Rechte im LDAP gibt's nur für AccessControl.

Manx

pnuernbe
28.01.04, 12:19
O.K. hab glaube denn Sinn mehr verstanden als es in vielen Dokus aufgeführt ist und Du hast mir dabei sehr geholfen. Benutzer werden in LDAP definiert....so ist es gedacht...und nicht auch noch local angelegt...alles klar.


"Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS"
Posix Gruppen sind doch Linux Gruppen oder ? Bitte en Beispiel...

Rechte im LDAP gibt's nur für AccessControl.
Und wie wird die ACL angelegt ?


Gruß

Peter

[WCM]Manx
28.01.04, 19:13
Original geschrieben von pnuernbe

1.) "Gruppenverwaltung => Du kannst, richtig erkannt, auch posixGruppen anlegen!
Dateirechte macht das OS"
Posix Gruppen sind doch Linux Gruppen oder ? Bitte en Beispiel...

2.) Rechte im LDAP gibt's nur für AccessControl.
Und wie wird die ACL angelegt ?

ad 1.)
Es gibt nicht nur die ObjectClass posixAccount sondern auch posixGroup was eine LiinuxSystemGruppe bezeichnet, die sich in den Dateirechten "User Group Others" (z.B rw-rw-rw) widerspiegelt.
Benutzer sind immer Mitglied einer (oder mehrerer) Gruppen. Bei LDAP ist es natürlich sinnvoll die Gruppen auch dort anzulegen.

ad 2.)
man slapd.access
Hier ein lesenswertes/lehrreiches Thema aus der Mailinglist (einfach dem Thread folgen)
http://www.openldap.org/lists/openldap-software/200209/msg00426.html

Grüße

Manx

pnuernbe
28.01.04, 19:32
Danke erst mal für Dein Betrag...Den Thread verfolge ich bei Zeit.
Hab noch ne Frage zu Deiner Antwort mit den Gruppen..

"Es gibt nicht nur die ObjectClass posixAccount sondern auch posixGroup was eine LiinuxSystemGruppe bezeichnet, die sich in den Dateirechten "User Group Others" (z.B rw-rw-rw) widerspiegelt.
Benutzer sind immer Mitglied einer (oder mehrerer) Gruppen. Bei LDAP ist es natürlich sinnvoll die Gruppen auch dort anzulegen."

Das jeder Benutzer in ner Gruppe ist usw... ist mir ja alles klar...Gruppen hab ich ja auch schon in LDAP angelegt...und den Benutzer eingefügt...nur wie kann ich dennder Gruppe auf UGO Rechte vergeben...das ist es...mein Problem..kan ja nicht einfach mit chmod oder so arbeiten...das geht doch nur mit localen Gruppen.

Glaub die Lösung ist ganz Nah...


Gruß

Peter

[WCM]Manx
28.01.04, 20:20
Hi!

Sicher kannst Du mit chmod arbeiten, wenn pam richtig konfiguriert ist, siehst Du ja die Benutzer mit "getent passwd" und die Gruppen mit "getent group".
Da ist kein Unterschied zw. lokal oder LDAP.

Manx

mamue
29.01.04, 10:24
Wenn man das Groupmapping einrichtet (samba3, objectClass: sambaGroupMapping), dann kann man auch unter Windows, etwa mit dem Explorer, die Rechte einstellen.
Bedingungen:
Das kann natürlich nur der Eigentümer einer Datei.
Samba3 muss mit ACL-sipport übersetzt sein.
Das Dateisystem muss ACL unterstützen.

Siehe dazu auch das samba3-howto.

mamue

pnuernbe
29.01.04, 13:40
Das mit dem ACL Support ist wünschenswert, versuch ich aber erst wenn die anderen sachen richtig laufen. Trotzdem danke für den Tipp mamue.

Das mit pam war also der Schlüssel. Wusste, das ich mit getent passwd eine Liste aller Benutzer bzw. Gruppen auf dem Rechner anzeigen kann...und pam notwendig ist um LDAP User an meinem Linix anmelden zu lassen. Hatte eigentlich gedacht, es gibt villeicht noch ein LDAP internes Tool oder eine LDIF Eintrag...welches die Gruppenverwaltung realisiert, ohne pam einzusetzen.
So ist das ganze doch sehr umständlich. Muss erst Gruppen in LDAP Definieren...Pam Konfigurieren....Gruppenrechte verteilen...Benutzer per ldif in die Gruppe einfügen...


Versuch's einfach mal

Gruß

Peter :)