PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Berechtigungen nach NT4 Migration



thiede
17.01.05, 15:02
Hallo,

in welcher Gruppe müssen die Benutzer sein, die vor der Migration von Windows NT4 auf Linux mit Samba und Ldap, in den Domain Admins waren um die NT4 Tools zu Administration noch verwenden zu können ??
Habe das Problem das die ehemaligen Admins keinerlei Rechte haben User und Gruppen anzuschauen, obwohl ich sie in die Gruppen domainadmins(gemappt auf Domain Admins) gesetzt habe, in die Gruppe root habe ich sie auch mit aufgenommen, sowie viele andere Kombinationen durchprobiert, aber immer das gleiche Ergebnis, kein Zugriff.

Der einzige User der Zugriff hat ist der Administrator, der allerdings auch in der smbpasswd mit drin steht um Computerkonten erstellen zu können.

Wer hat einen Rat ?

Gruss

Norbert

emba
17.01.05, 17:03
von wo aus schaust du denn jetzt bei deinem beispiel
keinerlei Rechte haben User und Gruppen anzuschauen ???

UNIX ebene oder Windows ebene?

kommst du von windows aus und möchtest gruppen/nutzern administrative priviliegien geben (soll: UID=0), musst du sie mittels "admin users =" in der smb.conf des PDC/Fileservers/whatever deklarieren

unter linux ist dies anders - hier wird standardmässig uid=0 erwartet für admin-tasks

greez

thiede
18.01.05, 12:48
Hallo emba,

ich schau vom NT aus, denn da habe ich als User der in "Domain Admins" ist den User Manager offen und kann mir keinerlei Benutzer oder Gruppen anschauen (die Details) und kann auch keine User oder Gruppen hinzufügen.

....eingefügt....

Nachdem ich den Punkt admin users = @"Domain Admins hinzugefügt habe, klappt das jetzt auch schonmal mit dem User...... aber immer wenn ich die Gruppe "Domain Admins" unter NT bei einem User einfügen will, bekomme ich eine Fehlermeldung die lautet : "Der Benutzer gehört nicht zu dieser Gruppe"

Was geht denn jetzt eigentlich mit den NT Tools ?
Gruppen anlegen und bearbeiten ? lokale Gruppen gehen nicht, globale schon....
User anlegen und bearbeiten ?
Aber wenn ich an der Gruppenzugehörigkeit unterm NT etwas ändere dann sehe ich dieses nicht im Linux System :-(

Dazu kommt noch das die User die in "Domain Admins" sind auch root Rechte auf dem Linux System haben sollen.... denn sonst nutz das ganze ja nicht viel, dann können fast alle unter dem root Account rein gehen.

--> dieses kann man ja erreichen, wenn man den einzelnen Usern die Zugriff auf das System haben sollen die uidNumber 0 gibt.
Aber gibt es da nicht einen Weg die alle in eine Gruppe zu packen und der Gruppe dann die Berechtigungen zu geben ? Alle in die lokale Gruppe Root bringt gar nichts :-(


Dazu ein Idee ??

Gruss

Norbert

emba
18.01.05, 14:16
ok, du siehst im usermanager zwar die benutzer, kannst aber den eigenschaften-dialog aufgrund eines "access denied" nicht öffnen?

paste mal die smb.conf des PDCs an dem du dich authentifizierst
ein "id <username>" des nutzers, mit dem du es probierst, würde mich auch interessieren

greez

emba
18.01.05, 14:21
aber immer wenn ich die Gruppe "Domain Admins" unter NT bei einem User einfügen will, bekomme ich eine Fehlermeldung die lautet : "Der Benutzer gehört nicht zu dieser Gruppe"

sieht aus wie ein NTERROR_CODE, der durch ein skript fälschlicherweise erzeugt wird

-> log level erhöhen

welche "add-skripte" verwendest du? die von idealx ?


Was geht denn jetzt eigentlich mit den NT Tools ?
Gruppen anlegen und bearbeiten ? lokale Gruppen gehen nicht, globale schon....
User anlegen und bearbeiten ?
Aber wenn ich an der Gruppenzugehörigkeit unterm NT etwas ändere dann sehe ich dieses nicht im Linux System :-(
es geht alles mit dem NTUSRMGR - voraussetzung sind leistungsfähige tools (idealx) und ein leistungsfähiges backend (ldap)


Dazu kommt noch das die User die in "Domain Admins" sind auch root Rechte auf dem Linux System haben sollen.... denn sonst nutz das ganze ja nicht viel, dann können fast alle unter dem root Account rein gehen.
bekommen sie, wenn du sie in die global sektion des jeweiligen servers einträgst

bspw. können domain-admins maschinen in die domäne fahren, haben alle rechte an den clients, ...

das sagt es ja schon


admin users (S)

This is a list of users who will be granted administrative privileges on the share. This means that they will do all file operations as the super-user (root).


--> dieses kann man ja erreichen, wenn man den einzelnen Usern die Zugriff auf das System haben sollen die uidNumber 0 gibt.
Aber gibt es da nicht einen Weg die alle in eine Gruppe zu packen und der Gruppe dann die Berechtigungen zu geben ? Alle in die lokale Gruppe Root bringt gar nichts :-(
wenn du admin users nicht nutzt, oder es aufgrund einer einschränkung nicht funktioniert, dann musst du UID=0 dem nutzer geben - die root-gruppe wirkt sich nur auf fileberechtigungen aus (anders als bei windows)

greez

thiede
18.01.05, 18:52
Hallo,

die Tools von Idealx laufen mit dem SLES 9 nicht, da bekommste eine Fehlermeldung nach der nächsten. Daher kommen die zur Anwendung die unter den .../doc/samba/examples/ldap liegen, die musst du zwar auch anpassen, dann funzt es aber.
Das grösste Problem ist aber das man ein Leistungsfähigs LDAP Frontend braucht für die User Administration, die NT Tools sind zwar ganz nett und auch eine nette spielrei, aber zur Administration ungeeignet. Ich sehe sie als Erweiterung um eine schnelle Administration an Benutzern oder gruppen zu machen.
Selbst Webmin mit dem LDAP Modul verweigert schon sein Dienste. Ihm ist die User Datenbank einfach zu gross und das gibt er auch aus......

Root rechte auf dem Server sind gefragt, nicht and den Clients, und da wird die Lösung so aussehen das es über SuDO in das Linux integriert wird.

Du schreibts immer das die Scripte von Idealx ohne Probleme laufen, mit welchem Linux und welchen Samba und welchem LDAP hast du das getestet und wieviel User und Gruppen ? Mal zur Info für mich...., da ich kein Script gefunden habe was einfach so funktionierte. Weder die aktuellen Scripte noch ältere noch die aus dem doc/samba Verzeichniss....

Gruss

Norbert

emba
19.01.05, 08:59
die Tools von Idealx laufen mit dem SLES 9 nicht, da bekommste eine Fehlermeldung nach der nächsten
kann ich nicht bestätigen


aber zur Administration ungeeignet.
was genau meinst du mit administration?


Du schreibts immer das die Scripte von Idealx ohne Probleme laufen, mit welchem Linux und welchen Samba und welchem LDAP hast du das getestet und wieviel User und Gruppen ? Mal zur Info für mich

erfolgreich getestet auf:

- SLES9
- Debian Sarge
- SuSE Linux 9.1 (64 Bit)
- SuSE Linux 9.0

jeweils mit OpenLDAP 2.1 und Smb-Ldap-Tools 0.8.5
meist fehlten noch zusätzliche perl-module wie Crypt::SmbHash oder SSL

greez

thiede
19.01.05, 16:15
...die Fehler fangen schon an bei dem ausführen des smbldap-populate script, das läuft schon nicht anständig durch, auch wenn in den smbldap_conf alles eingtragen ist.
Dann bei der Übernahme der User und Gruppen lassen sich posix Accounts nicht anlgen und die Rechnerkonten werden auch nicht übernommen.

Mit der Administration meine ich das Tagesgeschäft welches ein Admin mit den Usern und Gruppen machen muss.

Die Tools Crypt::SmbHash oder SSL sind auch installiert, aber irgendwie will das alles nicht so recht. Habe gestern mal die Übernahme mit den ldapsmb tools in der Version 1.5 getestet, funzt schon ganz gut, aber immer noch nicht perfekt.... aber man arbeitet dran.

Wieviel user hast du migriert ?

Gruss

Norbert

emba
20.01.05, 09:30
es waren etwa 500 user und 100 gruppen

greez

thiede
22.01.05, 17:05
@emba

habe gerade das spielchen noch einmal angefangen.....

Wenn ich die originalen Idealx Tools nehme und das configure.pl durchführe, dann läuft es auch durch.
Was hast du bei crtificate und Key eingetragen unter SuSe?

Wenn ich dann das smbldap-populate durchlaufen lasse, dann bekomme ich die Meldung das no structural Object gefunden wurde und daher die Einträge nicht angelegt werden konnten. Dazu eine Idee ? Habe an den Scripten die ich von der Idealx Seite habe noch nichts verändert.
Wenn ich da nun als ObjectClass namedObejct einfüge, an den passenden Stellen, dann läuft es durch.

Gruss

Norbert

emba
25.01.05, 12:28
ich nutze nie das configure.pl

ich kopiere die .pl skripte immer in ein verzeichnis (usr/local/sbin)
dann sorge ich dafür, dass das .pm modul von perl gefunden wird (in perl-pfad kopieren)

dann noch die tools konfiguriert (etc/smbldap-tools) - ohne certificate, da ich kein ssl/tls nutze (ist nur lokal - samba->ldap); wenn dann haben wir es gleich mit ssl gemacht, wozu keine anpassung bei den certificates nötig war

du musst das verzeichnis zunächst mit initiellen attributen bestücken (basedn, managerdn)

greez