PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba/Windows Gruppen aus LDAP



pixel
05.07.04, 13:47
Hi@all,

ich betreibe einen Samba-PDC welcher seinen Benutzer/Gruppen aus OpenLDAP bezieht unter SuSE-9.1.
Da der Server sowohl Linux- wie auch Windows- Clients bedienen muß habe ich das System so konfiguriert das alle, also auch die Linux-User im LDAP liegen. Soweit funktioniert das auch alles.
Die Benutzer-Gruppen habe ich als Posix-Group im LDAP angelegt. Diese sehen so aus:

# sbh, Groups, softwareschmied
dn: cn=sbh,ou=Groups,dc=softwareschmied
cn: sbh
gidNumber: 2006
objectClass: top
objectClass: posixGroup
memberUid: andrea
memberUid: dirk
memberUid: fred
memberUid: nandor
memberUid: sven
memberUid: stefan
memberUid: alice
memberUid: henning
memberUid: volker

Wenn ich das bisher alles richtig verstnden habe können die Windows-Clients mit diesen Gruppen ja nicht viele anfangen. Hierzu brauchen die Gruppen im LDAP-Verzeichnis ja weiter Attribute.
Wie löse ich diese Problem am besten? Ich habe bereits gesucht und zwei 'Schlagwörter' hierzu gefunden. Das eine war ein Befehl names 'smbldap-groupmod' mit welchem wohl die Samba-Gruppen im LDAP modifiziert werden das nächste war das Group-Mapping. Hierbei scheint es sich um ein Konfiguration zu handeln welche die Unix-Gruppen auf den Samba abbildet.

Also, meine Posix-Gruppen mit den o.g. Attributen liegen im LDAP-Verzeichnis. Wie kann ich diese nun am einfachsten so modifizieren das die Windows-Clients diese auslesen können und aber auch die Linux-Clients weiterhin damit arbeiten können.

Viele Grüße
Pixel

emba
05.07.04, 14:50
all you need is: net groupmap help

greez

pixel
05.07.04, 16:01
Hi@all,

ich habe mir das angesehen und wenn ich das richtig verstanden habe macht dieser Befehl eine Windows <-zu-> Linux - Gruppenzuordnung. Diese wird über das LoginSkript realisiert.
Gibt es keine Möglichkeit den Gruppen im LDAP-Server bereits alle notwendigen Attribute zu verpassen damit sie von Windows auch als Windows-Gruppen gesehen werden?

Viele Grüße
Pixel

emba
05.07.04, 16:17
wieso wird dies über das login script realisiert?
wo steht das denn?

der befehl sollte auf der kommandozeile eingegeben die benötigten attribute automatisch hinzufügen

greez

pixel
05.07.04, 16:43
Hi@all,


wieso wird dies über das login script realisiert?
wo steht das denn?
Das stand nirgens das habe ich aufgrund der Syntax so interpretiert (vgl. net use ...). Sorry, da habe ich dich falsch verstanden.

der befehl sollte auf der kommandozeile eingegeben die benötigten attribute automatisch hinzufügen
Na das klingt doch genau nach dem was ich brauche.

Nur mit der Syntax habe ich noch meine Probleme. Ich habe mal eine Posix-Gruppe 'test' angelegt. Benutze ich dann 'net groupmap modify' um die Gruppe um die Windows spezifischen Eigenschaften zu erweitern?

Oder habe ich da wieder einen Denkfehler?

Viele Grüße
Pixel

emba
05.07.04, 18:38
denkfehler =)

du nutzt add, mehr dazu steht in der doku auf den sambamirrors

greez

pixel
05.07.04, 21:33
Hi@all,

also lege ich zuerst eine Posix-Group z.B. mit dem Namen 'test' an und rufe anschließend:

net groupmap add test

auf?

Viele Grüße
Pixel

emba
05.07.04, 22:57
http://samba.epfl.ch/samba/docs/man/howto/groupmapping.html

greez

pixel
06.07.04, 12:14
Hi@all,

ich habe mir das mal durchgelesen aber so ganz scheint das nicht auf meine Frage zu passen. Mit dem Gruppenmapping werden Windows-Gruppen auf Linux-Gruppen abgebildet.

Da mein System vollständig auf LDAP umgestellt ist wird weder /etc/passwd noch /etc/group verwendet. Ich habe also alle mein Gruppen als Posix-Group im LDAP angelegt, sonst existieren sie nirgens!

Auf der lokalen Linux-Maschiene sowie an den den angebunden Linux-Clients kann ich mit diesen Gruppen arbeiten.

Ich habe z.B. eine Posix-Gruppe 'sws' im LDAP. Durch das Gruppen-Mapping würde ich nun eine weiter Gruppe erstellen z.B. 'sws2' welche auf die Gruppe 'sws' gemappt ist. Somit hätte ich am Ende zwei Gruppen welche aber ein und den selben Zweck haben. Das ist genau das was ich nicht möchte.

Was ich brauche ich eine Möglichkeit die vorhanden Posix-Groups im LDAP so zu modifizieren das sie von den Windows-Clients richtig benutzt werden können. Also die Windows/Samba - spezifischen Attribute ergänzt werden.

Wie kann ich das bewerkstelligen?

Viele Grüße
Pixel

senseipetz
06.07.04, 15:00
Aufsetzen eines Suse Linux 9.1 Servers +
Samba 3.0.4(NT 4 Schema +PDC) + LDAP
Server 2.x Revision 1.7
1.0.0 Nachdem aufsetzen des Linux Servers müssen noch einige Packeges installiert werden.
Hierbei handelt es sich um die:

• make(per yast2)
• webmin((per yast2) danach aus dem webmin upgraden..)
• locate(per yast2)
• nss_ldap(per yast2)
• pam_ldap(per yast2)
• net::ssley(Suse unclude Perl Script(per yast2))
• net::ldap(Suse unclude Perl Script(per yast2))
• samba(server)(per yast2)
• samba(client)(per yast2)
• openldap Server 2.x(per yast2)
• crypt::smbhash(externes perl modul, ebenfalls ist zip da. Nur noch installieren.)
• smbldap-tools(vorbereites package ist schon da als zip. Bei neuer struktur neu anpassen)

!!!!!!!!!!!!!!!!Wichtig nach der installation ein YastOnlineUpdate zu machen und ein init 6
!!Samba noch in ruhe lassen, bis alles notwenigen Files drüben sind, sonst wird's kompliziert..

1.1.0Jetzt geht es dem OpenLDAP Server an den kragen mit dem Pfad /etc/openldap/slapd.conf:

################################################## #############################
# Die Include Files #
################################################## #############################

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba3.schema

################################################## #############################
# Die pid Files #
################################################## #############################

pidfile /var/run/slapd/run/slapd.pid
argsfile /var/run/slapd/run/slapd.args

################################################## #############################
# Load dynamic backend modules: #
################################################## #############################

modulepath /usr/lib/openldap/modules



################################################## ##############################
# Die Access Definitions wer darf was.. #
################################################## ##############################

access to attrs=userPassword
by self write
by anonymous auth
by * none

access to attrs=sambaLMPassword
by self write
by anonymous auth
by * none

access to attrs=sambaNTPassword
by self write
by anonymous auth
by * none

access to *
by * read

################################################## ##############################
# bdb database definitions #
################################################## ##############################

database ldbm
suffix "dc=berlin-home,dc=local"
rootdn "cn=Manager,dc=berlin-home,dc=local"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw secret
directory /var/lib/ldap
# Indices to maintain
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq

1.1.1 Das war der OpenLDAP Server. Jetzt nur noch die Datei /etc/openldap/ldap.conf bearbeiten

################################################## ##############################
# Hier kommen die Base als Standardsuchpfad #
################################################## ##############################

BASE dc=berlin-home, dc=local
HOST 10.0.0.140

1.1.1.1 Den OpenLDAP Server starten mit /etc/init.d/ldap start

Der Server sollte ohne irgendwelche Probleme starten. Sollte es nicht der Fall sein, Fehler
ansehen und entsprechend versuchen zu beheben. Sonst kann man sich den Rest sparen.

1.1.2 Und jetzt kommt Samba dran(!! Aber den Samba noch nicht neu starten) mit der Datei
/etc/samba/smb.conf

# Samba config file created using SWAT
# from 10.0.0.139 (10.0.0.139)
# Date: 2004/06/18 20:13:45
# Global parameters

[global]
unix charset = ISO8859-1
workgroup = berlin-home
server string = Samba Server %v
interfaces = 10.0.0.140/255.255.255.0
bind interfaces only = Yes
client schannel = No
server schannel = No
map to guest = Bad User
passdb backend = ldapsam:ldap://10.0.0.140/
passwd program = /usr/local/sbin/smbldap-passwd %u
smb ports = 445 139 137
printcap cache time = 750
add user script = /usr/local/sbin/smbldap-useradd -m %u
add group script = /usr/local/sbin/smbldap-groupadd -p %g
add user to group script = /usr/local/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
add machine script = /usr/local/sbin/smbldap-useradd -w %u
logon path = \\linux2\profiles\%U
logon drive = X:
logon home = \\%L\%U\.9xprofile
domain logons = Yes
os level = 65
log level = 10
preferred master = Yes
domain master = Yes
wins support = Yes
# Ldap Suffix & Co.#
ldap suffix = dc=berlin-home,dc=local
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = cn=Manager,dc=berlin-home,dc=local
ldap ssl = no
ldap delete dn = Yes
valid users = nobody, testuser1, root, Administrator
printer admin = @ntadmin, root, administrator
cups options = raw
store dos attributes = Yes

[homes]
comment = Home Directories
path = /home/%U
valid users = %U

[profiles]
comment = Network Profiles Service
path = /home/samba/profiles
valid users = %U, '@Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
nt acl support = yes
csc policy = disable
profile acls = yes

[netlogon]
path = /home/samba/netlogon
write list = ntadmin
guest ok = Yes

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes

[pdf]
comment = PDF creator
path = /var/tmp
create mask = 0600
printable = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775

[ldap]
path = /home/ldap
read only = No
guest ok = Yes

!!!!!!!!!! EXTREM WICHTIG fürs XP.. Über SWAT folgende Variablen anpassen:

map system = No
map hidden = No
map archive = No

Sonst werden die Profile IMMER schreibgeschützt geöffnet... Da wird man noch zum Affen..

Auch wichtig für die homes. Damit die Homes des Users gleich ins korrekte verzeichnis gemappt werden, wurde /home durch /home/%U ergänzt. Dafür aber muss beim smbldap configurationsscript die freigabe des Homes auf \\<Homeshare – Server>\%U angegeben werden.

!!!!!!!!!!Wichtig ist auch folgende Pfade gemäß der smb.conf zu erstellen:

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
chmod 1777 /home/samba/profiles

1.1.3 Das war Samba(feel free to define your own new definitions). Jetzt müssen wir die nur noch
das Passwort aus der /etc/openldap/slapd.conf in die secrets.tdb schreiben. Das passiert mit dem
Befehl:

smbpasswd -w <passwort>

Dann einfach kucken, ob der eingetragen „cn=<manager>,dc=<erster wert>,dc=<zweiter wert> mit
dem übereinstimmt, dass in der smb.conf „ldap admin dn =“ + in der slapd.conf. Das Passwort was
wir eingetragen haben ist das, was Samba zur authentication mit LDAP benötigen wird, um die
Daten vom LDAP Server anzufordern.

1.1.4 Wer möchte kann noch die lmhosts unter /etc/samba füttern. Besser fürs Netbios.

# This file provides the same function that the lmhosts file does for
# Windows. It's another way to map netbios names to ip addresses.
# See section 'name resolve order' in the manual page of smb.conf for
# more information.
127.0.0.1 localhost
10.0.0.140 Linux2.TUX-NET
10.0.0.143 erfcl20001-xpp.TUX-NET

1.1.5 Wir kommen nun zu den wichtigsten Parts. Die /etc/ldap.conf:

################################################## #############################
# Host ist wohl jedem klar.. muss übereinstimmen.. Man kann auch LINUX2.TUX-NET machen.#
# Allerdings muss Linux2.TUX-NET DNS mässig auflösbar sein.Das ist der Hacken.. #
################################################## #############################

host 10.0.0.140

################################################## ##############################
# The distinguished name of the search base. Erleutrn muss man dies nicht.. Die Base-Adresse #
# worauf der Server zuerst gesucht werden soll #
################################################## ##############################

base dc=berlin-home,dc=local
ldap_version 3

# Das Binddn muss nicht unbedingt rein. Wenn was nicht funktionieren sollte, kann man es #
# rausnehmen, da die Accesscontroll vom Server auf * steht. #
binddn cn=nssldap,ou=DSA,dc=berlin-home,dc=local
bindpw nssldapsecret

port 389

scope sub

pam_password md5

nss_base_passwd ou=Users,dc=berlin-home,dc=local?one
nss_base_shadow ou=Users,dc=berlin-home,dc=local?one
nss_base_group ou=Groups,dc=berlin-home,dc=local?one

ssl No

1.1.6 Nun ist auch die Zauberdatei /etc/nsswitch.conf. In der müssen die fett folgenden Einträge
angepasst sein.

#
# /etc/nsswitch.conf
#
# For more information, please read the nsswitch.conf.5 manual page.
#
passwd: compat
shadow: files ldap
group: compat
passwd_compat: ldap
group_compat: ldap

hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files nis
aliases: files

1.1.7 Und the last but not least.. Die wichtigsten Dateien überhaupt /etc/pam.d/login und /
etc/pam.d/passwd. Vorsicht ist angesagt.. Es gibt keine Config-Tools dafür(ausser füs Red Hat
Linux)

Als erstes schnappen wir uns die datei /etc/pam.d/login:

auth requisite pam_unix2.so nullok #set_secrpc
auth sufficient pam_ldap.so
auth required pam_securetty.so
auth required pam_nologin.so
auth required pam_env.so
auth required pam_mail.so

account sufficient pam_ldap.so
account required pam_unix2.so

password sufficient pam_ldap.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok

session sufficient pam_ldap.so
session required pam_unix2.so none # debug or trace
session required pam_limits.so

Und nun kommt die /etc/pam.d/passwd

#%PAM-1.0
auth sufficient pam_ldap.so
auth required pam_unix2.so nullok

account sufficient pam_ldap.so
account required pam_unix2.so

password sufficient pam_ldap.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok

session sufficient pam_ldap.so
session required pam_unix2.so

1.1.8 Jetzt müssen wir noch das Package crypt::SmbHash falls noch nicht installiert noch
installieren.

perl Makefile.PL
make
make test
make install

1.1.9 Wir sind nun fertig und doch nur am anfang. Jetzt kümmern wir ums füttern des LDAP
Servers.

Erstmal mit ./configure.pl die smbldap.conf und smbldap_bind.conf neu schreiben lassen.
Die darin angeforderten anfragen immer neu bestätigen.. Habe es nicht testen wollen, was
das Programm macht, wenn man nur enter drückt bei sachen, wo er den pfad zeigte. Sollte
die smbldap-tools sollte immer unter /usr/local/sbin drin sein, sonnst pfade anpassen. Wenn
das ./configure durchgelaufen ist, kann man sich dem script smbldap-populate widmen.
Dieses macht die ersten einträge. Es muss ohne Fehler durchlaufen.. Ansonsten wird 100%
Ärger/Probleme geben.

Beendet wird das ganze indem wir noch ein Zusatzscript laufen lassen. Es beinhaltet
folgende Einträge(ansich brachen wir auch nur die einträge mit dem nssldap):

dn: ou=DSA,dc=berlin-home,dc=local
objectClass: top
objectClass: organizationalUnit
ou: DSA
description: security accounts for LDAP clients

dn: cn=samba,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: samba

dn: cn=nssldap,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: nssldap

dn: cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: smbldap-tools

Jetzt wäre ein guter Zeitpunkt den Samba Server neu zu starten mit den Befehlen:
/etc/init.d/smb restart
/etc/init.d/nmb restart

1.2.0 Damit aber auch die Account laufen und richtig müssen noch die Passwörter richtig gesetzt
werden mit den folgenden commands:

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s sambasecretpwd -W \
cn=samba,ou=DSA,dc=berlin-home,dc=local

Das Passwort was der LDAP Server euch fragt ist das Passwort, was in der slapd.conf drinsteht und
auch was ihr in der secrets.tdb verewigt habt.

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s nssldapsecret \
-W cn=nssldap,ou=DSA,dc=berlin-home,dc=local

Bei diesem Account müsst ihr mit den Passwörtern vorsichtig sein, da dieser Account auch in
der /etc/ldap.conf als „binddn=“ samt Klartextpasswort eingetragen ist und dies auch
geändert werden muss, wenn ihr die Passwörter fü den Account ändert.

Das Passwort was der LDAP Server euch fragt ist das Passwort, was in der slapd.conf drinsteht und
auch was ihr in der secrets.tdb verewigt habt.

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s smbldapsecretpwd \
-W cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local

Mal nach den SID nachkucken mit net groupmap ob alles ok ist.. das kommt raus wenn alles ok ist.

Domain Admins (S-1-5-21-1356524046-1554731702-4227933625-512) -> Domain Admins
Domain Users (S-1-5-21-1356524046-1554731702-4227933625-513) -> Domain Users
Domain Guests (S-1-5-21-1356524046-1554731702-4227933625-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

1.2.0 Auch mit dem Tool von Pegacat Jxplorer die ID vom guest/nobody prüfen. Die
SambaSID muss auf 501 und die SambaPrimaryGroupSID muss auf 513 sein. Dann erst lässt
euch der Samba an dem LDAP ran. Ansonsten gibt es die schicke meldung: „Can't become
connected user“..

!!!!!!!!!!!!!!!!!Wichtig.. Beim Script die SID UNBEDINGT DER SYSTEMSID ANPASSEN.

Nun müssen auch noch einpaar Sachen beim XP gechanged werden... Und dass noch vor dem „In Domain einbinden“:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"signsecurechannel"=dword:00000000

Und auch noch über den gpedit.msc als lokaler Administrator:

„Do not check for user ownership of Roaming Profile Folders“

Eigentlich sollte nun alles funktionieren. Sowohl das joinen der Domains als auch das Anmelden an
der Domain. Viel Spass noch.....

emba
06.07.04, 15:09
Hi@all,
Ich habe z.B. eine Posix-Gruppe 'sws' im LDAP. Durch das Gruppen-Mapping würde ich nun eine weiter Gruppe erstellen z.B. 'sws2' welche auf die Gruppe 'sws' gemappt ist. Somit hätte ich am Ende zwei Gruppen welche aber ein und den selben Zweck haben. Das ist genau das was ich nicht möchte.


nein, du erstellst keine zweite gruppe, sondern du mapst eine bestehende windows gruppe auf eine linuxgruppe bzw. erweiterst eine bestehende posixgruppe im ldap um weitere sambaattribute, sodass sie zur allgemeingültigen windowsgruppe wird

anders geht es nicht, da weder samba noch windows mit den gruppen des anderen nativ "kann"

es wird auch kein zweiter ldap eintrag angelegt, sondern nur modifiziert
also ich sehe hier überhaupt kein problem darin

wie willst du windows denn sonst die posixgruppen beibringen?

greez

pixel
06.07.04, 15:25
Hi@all,

ich hatte das letzte Posting noch nicht gesehen. Das bedeutet meine vorhanden Posix-Group wird mit dem add Befehl modifiziert? Das klingt zwar unlogisch aber wenn funktioniert solls mir recht sein.
Viele Grüße
Pixel

pixel
06.07.04, 15:43
Hi@all,

so ich habe das jetzt einfach mal ausprobiert:

Im LDAP gibt es die Posix-Group 'test' welche im LDAP die gidNumer 2013 besitzt.

Nun habe ich auf der Konsole einfach ein:

net groupmap add rid=2013 unixgroup=test ntgroup=test

gemacht und erhalte ein:

No rid or sid specified, choosing algorithmic mapping
Successully added group test to the mapping db
tux:/etc/openldap # net groupmap add rid=2013 unixgroup=test ntgroup=test
[2004/07/06 15:40:43, 0] passdb/pdb_ldap.c:ldapsam_add_group_mapping_entry(2022)
ldapsam_add_group_mapping_entry: Group 2013 already exists in LDAP
adding entry for group test failed!

We muß ich vorgehen um aus dieser Posix-Group ein Windows konforme Gruppe zu machen??

Viele Grüße
Pixel

senseipetz
06.07.04, 15:48
was passiert den, wenn du net groupmap list eingibst..?

pixel
06.07.04, 15:57
Hi@all,

ich denke ich habs hin bekommen. Alles was ich machen mußte war:

net groupmap modify unixgroup=test ntgroup=test

Danach hatte die Posix-Froup im LDAP weitere Windows-Attribute. Also war mein Eingangs geäußerte Vermutung mit dem modify doch kein Denkfehler! ;)

Deswegen kam ich auch auf den Gedanken dass das Groupmapping für mich das falsche ist da add immer ein neues Objekt ergibt.

Nach diesem Befehl sieht das Objekt im LDAP so aus:

# test, Groups, softwareschmied
dn: cn=test,ou=Groups,dc=softwareschmied
cn: test
gidNumber: 2013
memberUid: sven
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
sambaSID: S-1-5-21-965682868-2238711178-860970160-5027
sambaGroupType: 2
displayName: test
description: Local Unix group

Das einzige was mir jetzt noch nicht klar ist wie Windows aufgrund dieser Attribute fetstellt das es sich um ein Gruppe 'Domain-User' handelt. Ich sehe nix von einem SID = 513

Für das Attribut sambaGroupType finde ich keine Erklärung. Was bedeutet das?

Viele Grüße
Pixel

senseipetz
06.07.04, 18:35
Was ist SambaGrouptype:

Der Wert darin ist ein Integer. Dies bezeichnet lediglich, ob die Gruppe lokal(5) oder global(2) ist. Wie kommst du darauf, dass Windows deine Gruppe test für die Gruppe Domain users hält?

pixel
07.07.04, 13:14
Hi@all,

also das mit der Gruppe test und der Tatsache das ein net groupmap modifiy mit dieser Gruppe funktioniert hat lag wohl nur daran das ich die bei einem vorherigen Versuch wohl schon mit .... add hinzugefügt hatte.

Es funktioniert. Mit net groupmap add rid=513 unixgroup=.... ntgroup=....
klappt das.

Nachdem es nun funktioniert kann ich mir das ganz nochmal durchdenken. Was mich einfach verwirrt hat ist die Bezeichnung 'mapping'. Ganz allg. berachtet ich mapping ja das umsetzen einer Quelle auf ein Ziel und kann dort u.U. einen anderen Namen haben. Das Ziele ist aber immer ein weiteres Objekt (vgl. NFS). Das hat mich zimlich verwirrt.

Vielen Dank für Eurer Hilfe und sorry das ich angenommen habe Ihr würdet falsch liegen :rolleyes:

Pixel