PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : XP -> Samba -> Benutzergruppen aus LDAP



XeN
12.10.07, 09:17
Hallo,

ich hab da ein kleines Problemchen.
Und zwar setzen wir ein Windows XP als Terminal Server ein. Die Applikationen weisen wir über die Benutzergruppen zu. Diese werden aus einem Samba mit LDAP Backend gezogen.

Nur werden die Gruppen irgendwie nicht mehr direkt übernommen. Was mich auch sehr wundert ist die Unterschiedliche ausgabe des "groups" befehls.

Angenommen ich schiebe den user musterm in die Gruppe Word um ihm Word als Applikation zuzuweisen.
Direkt danach gehe ich auf die Konsole des Samba Servers und tippe:



groups musterm


Dann bekomme ich die gruppen aufgelistet, allerdings fehlt die Word gruppe. Tippe ich hingegen



su musterm
groups


sehe ich alle gruppen vollständig mit word. Nur greift die gruppenzuweisung scheinbar auf den "groups username" befehl.

Die frage ist. Warum sind die ausgaben unterschiedlich?

Als os verwenden wir SuSE Sles9.

Über eure antworten würde ich mich sehr freuen.

emba
15.10.07, 22:35
du arbeitest auf dieser maschine mit winbindd und group/user enum ist deaktiviert? dann ist dies normal

greez

XeN
15.10.07, 23:14
Hallo,

also der Winbindd ist aktiv. Nur kann ich mit dem anderen von dir genannten nichts anfangen =(.

Hast du vielleicht eine lösung wie ich die gruppen übername was direkter machen kann?

Weil oft rufen user an und bitten mich ihnen "mal gerade" powerpoint zu geben. Aber dieses "mal gerade" kann dann schon mal stunden dauern. Das ist halt was lästig.

emba
16.10.07, 19:28
was meinst du eigentlich mit gruppenuebernahme? wenn dies ein member server ist, der mittels winbindd auf den DC zugreift, dann sind die gruppen auf dem member sichtbar

greez

XeN
16.10.07, 20:14
Vielleicht erklär ich kurz wie das allgemein aufgebaut ist.

Wir haben 2 Win XP Server. Darauf läuft die Software XP Unlimited. Diese macht aus den XP Servern, Terminal Server.

Diese sind in die Domain firma.lan eingebunden. Der DC Für diese Domain ist der Mail/file/samba server mail1.

Auf dem mail1 läuft ein Open Exchange server. Damit eine LDAP DB mit den Userdaten. Da wir nur eine User DB haben wollten haben wir diesen weg gewählt.


Im LDAP gibt es dann Gruppen wie XPU_Excel. Member dieser gruppe bekommen beim Anmelden an XP Unlimited Excel zugewiesen.

Und da ist das Problem. Der XP Server schnallt irgendwie nicht (oder erst nach 1 Stunde oder so) das der member X zur gruppe XPU_Excel gehört. Früher ging das auch mal direkt. Aber ich weiß echt nicht warum =(.

emba
16.10.07, 20:45
hm, warum laeuft dann winbindd auf dem DC?

XeN
16.10.07, 21:48
hmmm, dachte immer das müßte...

Also wenn ich den winbindd abschalte müßte das mit den gruppen wieder passen?

emba
16.10.07, 22:15
kommt ganz auf deine config an

greez

XeN
17.10.07, 08:21
Hier mal meine Config.



[global]
# Server Settings
security = user
server string = PDC
preferred master = Yes
domain logons = Yes
nt acl support = Yes
server schannel = auto
server signing = auto
client signing = auto
client schannel = auto
time server = Yes
max xmit = 16644
update encrypted = no
encrypt passwords = yes
wins proxy = Yes
unix password sync = yes
pam password change = no

#Domain Setup
domain master = Yes
netbios name = mail
local master = Yes
workgroup = panno.lan
dns proxy = yes
os level = 65

#Printing
show add printer wizard = yes
use client driver = No
printing = cups
printcap = cups
printer admin = @he_EDV
load printers = yes


# User-Ldap defs
ldap ssl = no
ldap suffix = dc=panno,dc=com
ldap passwd sync = Yes
passwd program = /usr/local/sbin/smbldap-passwd %u
ldap group suffix = ou=Groups,ou=OxObjects
ldap machine suffix = ou=Computers,ou=OxObjects
ldap admin dn = uid=mailadmin,dc=panno,dc=com
ldap user suffix = ou=Users,ou=OxObjects
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
passdb backend = ldapsam:"ldap://127.0.0.1/"
ldap delete dn = Yes
logon drive = X:
logon path = \\%L\profiles\%U
logon home = \\%L\public\homes\%U
logon script = %U.cmd
# Logs
log file = /var/log/samba/log.%m
log level = 1

# log level = 3
# DEBUG
# log level = 99

[recycle]
comment = muelleimer
path = /daten/files/recycle
read only = No
guest only = No
browsable = Yes
writable = No
write list = @he_EDV, root

[profiles]
comment = Network Profiles Service
path = /daten/files/profiles
read only = No
profile acls = yes
writable = Yes
browsable = no

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
public = yes
writable = yes

[print$]
comment = Druckertreiber-Download-Bereich
path = /daten/files/drivers
browseable = yes
guest ok = yes
read only = yes
write list = @he_EDV, @ntadmin, root

[public]
comment = public
path = /daten/files/public/
read only = No
guest only = No
dos filemode = Yes
browsable = Yes
hide files = /desktop.ini/RECYCLER/
vfs objects = recycle
recycle:exclude = *.tmp *.temp ~$* *.~??
recycle:maxsize = 10000000
recycle:touch = yes
recycle:versions = yes
recycle:keptree = yes
recycle:repository = /daten/files/recycle/%U
writable = Yes
[home]
comment = Homedrives
path = /daten/files/public/homes/%U
read only = No
guest only = No
browsable = Yes
hide files = /desktop.ini/RECYCLER/
vfs objects = recycle
writable = No
write list = %U

[netlogon]
comment = Network Logon Service
path = /daten/files/netlogon
guest ok = yes
write list = @he_EDV, @ntadmin, root
browseable = No
share modes = No

[pdf]
path = /tmp
printable = yes
printing = bsd
guest ok = yes
print command = /usr/bin/ps2pdf14 %s /daten/files/public/homes/%U/"%J.pdf" && rm /tmp/%s
lpq command =
lprm command =

[pdf_mail]
path = /tmp
printable = yes
printing = bsd
guest ok = yes
print command = /daten/backup/pdfdrucker %s %U "%J"
lpq command =
lprm command =


nochmal danke für die Hilfe =).

emba
17.10.07, 09:23
ok, wenn der DC an sich funzt, dann stimmt die config
ich meinte eher den output von /etc/nsswitch.conf

auf einem DC muessen die domaenenlokalen nutzer des DCs immer mittels getent passwd und getent group gelistet werden und mittels id <nutzer> auch alle gruppen aufgeloest werden. klappt das bei dir? winbindd und nscd bitte stoppen

gruesse

XeN
17.10.07, 10:19
Damit scheint es funktioniert zu haben. Danke!

Hab den nscd und den winbind deaktiviert und scheinbar funktioniert das jetzt wieder.

Danke für deine Hilfe!