PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Änderung der Primary-Group mit PAM_WINBIND-Authentisierung



hannesj77
05.09.07, 09:57
Hallo allerseits

Ich habe meinen Linux-Server (SuSE10.2) in die AD-Domain aufgenommen und die PAM-Files so angepasst, dass ich über Kerberos mit einem AD-Account via SSH einloggen kann. Die Benutzer erhalten als Primary Group die Gruppe "Domain Users". Die Befehle "getent group" und "wbinfo -g" funktionieren einwandfrei.

Wie kann ich nun dem Benutzer eine andere Primary-Group (anstelle der "Domain Users") zuweisen? Wenn ich mit "usermod -g [neue_ad_gruppe] [ad-account]" eingebe, dann erhalte ich die Meldung, dass der Account nicht existiert (obwohl ich ja mit diesem AD-Account eingeloggt bin).

Seitens AD habe ich kein Unix-Schema implementiert. In der Datei "/etc/samba/smb.conf" habe ich mit "force group = [neue AD-Gruppe]" schon probiert, eine neue Primary Group zuzuweisen. Das zieht jedoch nicht. Und der Eintrag "template primary group = [AD-Gruppe]" kennt meine Samba-Version (3.0.23d-19.7) (testparm) nicht.

Besten Dank im Voraus.
HannesJ

bla!zilla
05.09.07, 10:46
Die Gruppenmitgliedschaften kommen vom AD her. Da kannst du mit usermod nix löten.

hannesj77
05.09.07, 10:55
Gibt es denn eine Möglichkeit - analog der Option "force group" im smb.conf - dem einzuloggenden Benutzer eine andere Primary Group (Domain) mitanzugeben?

bla!zilla
05.09.07, 10:59
In den Eigenschaften des AD Users kannst du eine primary group angegeb. Die muss aber im AD existieren.

hannesj77
05.09.07, 11:38
OK, das funktioniert. Wenn ich im AD die Primary-Group ändere, wird diese von Winbind nach Linux portiert. Das heisst jedoch, dass der Benutzer auf allen Linux-Systemen, die via Winbind ans AD angekoppelt sind, dieselbe Primary-Group hat. Und das will ich geändert haben.

Kann evtl. über PAM oder sonstwie dem Benutzer nach der erfolgreichen Authentisierung eine Maske "aufgedrückt" werden, um dann die entsprechende Primary-Group mitanzugeben?

bla!zilla
05.09.07, 12:11
OK, das funktioniert. Wenn ich im AD die Primary-Group ändere, wird diese von Winbind nach Linux portiert. Das heisst jedoch, dass der Benutzer auf allen Linux-Systemen, die via Winbind ans AD angekoppelt sind, dieselbe Primary-Group hat. Und das will ich geändert haben.

Ist das nicht Ziel einer zentralen Benutzer- und Gruppendatenbank?

hannesj77
05.09.07, 13:22
Ja, grundsätzlich schon. Aber eben...mal da 'ne Ausnahme mal dort was ändern.

Ich gehe nun davon aus, dass es keine Möglichkeit gibt, die Primary-Group zu verändern....

emba
05.09.07, 20:58
warum scheitert es an der prim group? warum nutzt du nicht sec. groups?

greez

quaddy83
07.09.07, 14:35
Hallo hannesj77,

auch wenn das jetzt richtung Offtopic geht.. Ich hätte gerne mal gewusst wie du das angestellt hast das du der Domäne erfolgreich beitreten kannst.

Kannst du mir bitte mal deine Configs schicken? Ich denke dazu sind Samba, Kerberos und Winbind nötig, oder?

Ich bin gerade Azubi und mein Ausbilder möchte dass ich unter Linux mich an einer AD Domäne mit PAM anmelde, bin aber bisher jedesmal bei meinen Versuchen kläglich gescheitert..

Edit: Ich nutze übrigens Debian 4.0

Grüße,
quaddy

hannesj77
14.09.07, 10:10
emba:

Weil beim Erstellen einer Datei auf der Linux-Konsole mit dem AD-Account die Primary-Group gesetzt wird. Und diese Primary-Group möchte ich linuxseitig gerne ändern. Ich hätte zwar die Möglichkeit, die Primary-Group im AD auf dem Benutzeraccount zu setzen, jedoch hätte dann dieser Benutzer auf allen Systemen, wo er sich einloggt, dieselbe Primary-Group.

Gruss
HannesJ

bla!zilla
14.09.07, 10:43
Ich bin gerade Azubi und mein Ausbilder möchte dass ich unter Linux mich an einer AD Domäne mit PAM anmelde, bin aber bisher jedesmal bei meinen Versuchen kläglich gescheitert..

Edit: Ich nutze übrigens Debian 4.0


Was würde dein Ausbilder dazu sagen? So lernt man nichts, setz dich lieber mit der Dokumentation auseinander.