Archiv verlassen und diese Seite im Standarddesign anzeigen : XP -> Samba -> Benutzergruppen aus LDAP
Hallo,
ich hab da ein kleines Problemchen.
Und zwar setzen wir ein Windows XP als Terminal Server ein. Die Applikationen weisen wir über die Benutzergruppen zu. Diese werden aus einem Samba mit LDAP Backend gezogen.
Nur werden die Gruppen irgendwie nicht mehr direkt übernommen. Was mich auch sehr wundert ist die Unterschiedliche ausgabe des "groups" befehls.
Angenommen ich schiebe den user musterm in die Gruppe Word um ihm Word als Applikation zuzuweisen.
Direkt danach gehe ich auf die Konsole des Samba Servers und tippe:
groups musterm
Dann bekomme ich die gruppen aufgelistet, allerdings fehlt die Word gruppe. Tippe ich hingegen
su musterm
groups
sehe ich alle gruppen vollständig mit word. Nur greift die gruppenzuweisung scheinbar auf den "groups username" befehl.
Die frage ist. Warum sind die ausgaben unterschiedlich?
Als os verwenden wir SuSE Sles9.
Über eure antworten würde ich mich sehr freuen.
du arbeitest auf dieser maschine mit winbindd und group/user enum ist deaktiviert? dann ist dies normal
greez
Hallo,
also der Winbindd ist aktiv. Nur kann ich mit dem anderen von dir genannten nichts anfangen =(.
Hast du vielleicht eine lösung wie ich die gruppen übername was direkter machen kann?
Weil oft rufen user an und bitten mich ihnen "mal gerade" powerpoint zu geben. Aber dieses "mal gerade" kann dann schon mal stunden dauern. Das ist halt was lästig.
was meinst du eigentlich mit gruppenuebernahme? wenn dies ein member server ist, der mittels winbindd auf den DC zugreift, dann sind die gruppen auf dem member sichtbar
greez
Vielleicht erklär ich kurz wie das allgemein aufgebaut ist.
Wir haben 2 Win XP Server. Darauf läuft die Software XP Unlimited. Diese macht aus den XP Servern, Terminal Server.
Diese sind in die Domain firma.lan eingebunden. Der DC Für diese Domain ist der Mail/file/samba server mail1.
Auf dem mail1 läuft ein Open Exchange server. Damit eine LDAP DB mit den Userdaten. Da wir nur eine User DB haben wollten haben wir diesen weg gewählt.
Im LDAP gibt es dann Gruppen wie XPU_Excel. Member dieser gruppe bekommen beim Anmelden an XP Unlimited Excel zugewiesen.
Und da ist das Problem. Der XP Server schnallt irgendwie nicht (oder erst nach 1 Stunde oder so) das der member X zur gruppe XPU_Excel gehört. Früher ging das auch mal direkt. Aber ich weiß echt nicht warum =(.
hm, warum laeuft dann winbindd auf dem DC?
hmmm, dachte immer das müßte...
Also wenn ich den winbindd abschalte müßte das mit den gruppen wieder passen?
kommt ganz auf deine config an
greez
Hier mal meine Config.
[global]
# Server Settings
security = user
server string = PDC
preferred master = Yes
domain logons = Yes
nt acl support = Yes
server schannel = auto
server signing = auto
client signing = auto
client schannel = auto
time server = Yes
max xmit = 16644
update encrypted = no
encrypt passwords = yes
wins proxy = Yes
unix password sync = yes
pam password change = no
#Domain Setup
domain master = Yes
netbios name = mail
local master = Yes
workgroup = panno.lan
dns proxy = yes
os level = 65
#Printing
show add printer wizard = yes
use client driver = No
printing = cups
printcap = cups
printer admin = @he_EDV
load printers = yes
# User-Ldap defs
ldap ssl = no
ldap suffix = dc=panno,dc=com
ldap passwd sync = Yes
passwd program = /usr/local/sbin/smbldap-passwd %u
ldap group suffix = ou=Groups,ou=OxObjects
ldap machine suffix = ou=Computers,ou=OxObjects
ldap admin dn = uid=mailadmin,dc=panno,dc=com
ldap user suffix = ou=Users,ou=OxObjects
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
passdb backend = ldapsam:"ldap://127.0.0.1/"
ldap delete dn = Yes
logon drive = X:
logon path = \\%L\profiles\%U
logon home = \\%L\public\homes\%U
logon script = %U.cmd
# Logs
log file = /var/log/samba/log.%m
log level = 1
# log level = 3
# DEBUG
# log level = 99
[recycle]
comment = muelleimer
path = /daten/files/recycle
read only = No
guest only = No
browsable = Yes
writable = No
write list = @he_EDV, root
[profiles]
comment = Network Profiles Service
path = /daten/files/profiles
read only = No
profile acls = yes
writable = Yes
browsable = no
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
public = yes
writable = yes
[print$]
comment = Druckertreiber-Download-Bereich
path = /daten/files/drivers
browseable = yes
guest ok = yes
read only = yes
write list = @he_EDV, @ntadmin, root
[public]
comment = public
path = /daten/files/public/
read only = No
guest only = No
dos filemode = Yes
browsable = Yes
hide files = /desktop.ini/RECYCLER/
vfs objects = recycle
recycle:exclude = *.tmp *.temp ~$* *.~??
recycle:maxsize = 10000000
recycle:touch = yes
recycle:versions = yes
recycle:keptree = yes
recycle:repository = /daten/files/recycle/%U
writable = Yes
[home]
comment = Homedrives
path = /daten/files/public/homes/%U
read only = No
guest only = No
browsable = Yes
hide files = /desktop.ini/RECYCLER/
vfs objects = recycle
writable = No
write list = %U
[netlogon]
comment = Network Logon Service
path = /daten/files/netlogon
guest ok = yes
write list = @he_EDV, @ntadmin, root
browseable = No
share modes = No
[pdf]
path = /tmp
printable = yes
printing = bsd
guest ok = yes
print command = /usr/bin/ps2pdf14 %s /daten/files/public/homes/%U/"%J.pdf" && rm /tmp/%s
lpq command =
lprm command =
[pdf_mail]
path = /tmp
printable = yes
printing = bsd
guest ok = yes
print command = /daten/backup/pdfdrucker %s %U "%J"
lpq command =
lprm command =
nochmal danke für die Hilfe =).
ok, wenn der DC an sich funzt, dann stimmt die config
ich meinte eher den output von /etc/nsswitch.conf
auf einem DC muessen die domaenenlokalen nutzer des DCs immer mittels getent passwd und getent group gelistet werden und mittels id <nutzer> auch alle gruppen aufgeloest werden. klappt das bei dir? winbindd und nscd bitte stoppen
gruesse
Damit scheint es funktioniert zu haben. Danke!
Hab den nscd und den winbind deaktiviert und scheinbar funktioniert das jetzt wieder.
Danke für deine Hilfe!
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.