PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : net groupmap funktioniert nicht



grupe
04.03.05, 15:54
Ich will eine Domäne mit Samba-3.0.9-2.6 und OpenLDAP2-2.2.6-37.22 unet Linux (SuSE 9.1) aufsetzen und bin jetzt bei dem Punkt angekommen, das Gruppenmapping vorzunehmen. Hauptsächlich gehe ich nach der Samba-Howto-Sammlung (1.10.2004) und "Samba-3 by Example" vor.

Das funktioniert aber nicht.

Ich habe eine Unix-Gruppe "domadmin" (GID 1003) eingerichtet und lt. net groupmap list habe ich eine Gruppe "Domain Admins" in LDAP.

Wenn ich
net groupmap rid=3007 ntgroup="Domain Admins" unixgroup=domadmin
eingebe , erhalte ich die Meldung
adding entry for group Domain Adminss failed!

Kann mir jemand sagen, woran das liegen kann?

Vielen Dank für die Hilfe.

emba
06.03.05, 10:44
poste bitte zunächst einmal den output von

"net groupmap list" und "getent group"

greez

grupe
08.03.05, 13:49
Danke für Deine Hilfsbereitschaft emba,

hier sind die beiden Outputs.

getent group zeigt mir nur die Gruppen aus der /etc/group.
net groupmap list zeigt nur die Gruppen aus LDAP, die durch die Initialisierung (smbldap-populate) dort eingetragen wurden.

pdc:~ # getent group
root:x:0:
bin:x:1:daemon
daemon:x:2:
sys:x:3:
tty:x:5:
disk:x:6:
lp:x:7:
www:x:8:
kmem:x:9:
wheel:x:10:
mail:x:12:
news:x:13:
uucp:x:14:grupe.peter
shadow:x:15:
dialout:x:16:grupe.peter
audio:x:17:grupe.peter
floppy:x:19:
cdrom:x:20:
console:x:21:
utmp:x:22:
at:x:25:
public:x:32:
video:x:33:grupe.peter
games:x:40:
xok:x:41:
trusted:x:42:
modem:x:43:
ftp:x:49:
postfix:x:51:
maildrop:x:59:
man:x:62:
sshd:x:65:
ntadmin:x:71:
nobody:x:65533:nobody
nogroup:x:65534:nobody
users:x:100:
ldap:!:70:
named:!:44:
domuser:!:1001:
domguest:!:1002:
domadmin:!:1003:admin,Administrator

pdc:~ # net groupmap list
Domain Admins (S-1-5-21-2738867911-4047016838-2575494897-512) -> 512
Domain Users (S-1-5-21-2738867911-4047016838-2575494897-513) -> 513
Domain Guests (S-1-5-21-2738867911-4047016838-2575494897-514) -> 514
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

Bis dann,

grupe

emba
08.03.05, 17:22
pdc:~ # net groupmap list
Domain Admins (S-1-5-21-2738867911-4047016838-2575494897-512) -> 512
Domain Users (S-1-5-21-2738867911-4047016838-2575494897-513) -> 513
Domain Guests (S-1-5-21-2738867911-4047016838-2575494897-514) -> 514
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

das sieht nicht gut aus
anstatt der zahlen rechts müssten dort die unix namen stehen
wie sieht die /etc/nsswitch.conf aus? hast du da ldap bei group mit reingenommen?

greez

grupe
09.03.05, 09:32
Ich bin nach Kap.6 "Samba-3 by Example" vorgegangen.

Dementsprechend habe ich in der /etc/nsswitch.conf nur die Einträge für passwd, shadow, group u. hosts (s.u.) angepasst. Alle anderen Einträge habe original belassen.

Ebenso habe ich auch Anpassungen in der /etc/ldap.conf (s.u.) vorgenommen.

Allerdings muss ich eingestehen, dass die Tests
getent passwd | grep Administrator und
getent group | grep Domain
auch schon kein zufriedenstellendes Ergebnis brachten. Es gab keinen Output.

Kann es sein, dass der Fehler schon bei der Konfiguration von nss_ldap oder pam_ldap zu suchen ist?

pdc:/etc # less nsswitch.conf
...
passwd: files ldap
shadow: files ldap
group: files ldap

hosts: files dns wins
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files nis
aliases: files

pdc:/etc # cat ldap.conf
...
base dc=ldw2, dc=lan
host 127.0.0.1
binddn uid=admin,dc=ldw2,dc=lan
bindpw ***
# URI ldap://pdc.ldw2.lan:389

pam_password exop

nss_base_passwd ou=User,dc=ldw2,dc=lan?one
nss_base_shadow ou=User,dc=ldw2,dc=lan?one
nss_base_group ou=Groups,dc=ldw2,dc=lan?one

SIZELIMIT 200
TIMELIMIT 15
DEREF never
# TLS_REQCERT allow

Bis dann,

grupe

emba
09.03.05, 09:42
es kann an ldap.conf liegen
führst du getent xxx als root aus?

dann gelten die einstellungen in ldap.conf nur teilweise für nss
root sucht dann in ldap.conf nach "rootbinddn" und das passwort muss in der datei /etc/ldap.secret liegen (mit newline am ende)

greez