PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Falsche UID/GID für lokale User (Samba/Winbind)



akkie
21.10.08, 11:56
Hallo

Ich habe einen Gentoo Server der Mitglied einer Windows-Domäne ist. In der smb.conf kann man ja einen Bereich angeben aus dem die ActiveDirectory-Benutzer eine UID/GID bekommen. Wenn ich oder das System einen lokalen Benutzer anlegt dann bezieht er auch aus diesem Bereich eine UID/GID. Das soll aber so nicht sein.

Weiß jemand wie ich das verhindern kann?

/etc/samba/smb.conf


[global]
server string = Saturn
realm = MY_DOMAIN.LOCAL
workgroup = MY_DOMAIN
security = ADS
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
winbind use default domain = yes
socket address = 172.20.2.1
password server = 172.20.0.10
preferred master = no
max log size = 50
log file = /var/log/samba/log.%m
template homedir = /home/%D/%U
template shell = /bin/bash
encrypt passwords = yes
dns proxy = no
client use spnego = yes


/etc/nsswitch.conf


passwd: compat winbind
shadow: compat
group: compat winbind

hosts: files dns
networks: files dns

services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files

automount: files
aliases: files


/etc/pam.d/system-auth


auth sufficient pam_winbind.so
auth required pam_env.so
auth required pam_unix.so try_first_pass likeauth nullok

account sufficient pam_winbind.so
account required pam_unix.so

password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 try_first_pass retry=3
password required pam_unix.so try_first_pass use_authtok nullok md5 shadow

session required pam_mkhomedir.so umask=0022
session required pam_limits.so
session required pam_env.so
session required pam_unix.so


Mfg Akkie

muell200
21.10.08, 13:13
Mfg Akkie

hallo

verwende bitte mal die
CODE

dann wird dein posting deutlich lesbarer

akkie
22.10.08, 10:33
Hi

Also ich konnte das Problem lokalisieren. In der nsswitch.conf ist bei passwd und group ja winbind mit angegeben. Durch diesen Eintrag gibt mir "getent passwd" und "getent group" die User aus dem AD mit zurück. Das "useradd" Programm nutzt wahrscheinlich das gleiche Kommando um rauszufinden was denn die höchste UID ist. Der letzte User aus dem AD bekommt die UID 10005. Wenn ich jetzt einen User mit "useradd test" anlege, bekommt dieser natürlich die UID 10006.

Weiß jemand was passiert wenn ich winbind aus der Datei nsswitch.conf entferne? Das heißt welche auswirkungen das im Zusammenspiel mit dem AD hat?


Wenn ich winbind entferne dann kann ich die User nicht mit authentifiezieren. Es sah erst so aus als ob es funktioniert. Nach einem Neustart des Systems funktioniert aber die Authentifizierung nicht mehr.

Keiner eine Idee?


Mfg Akkie

muell200
22.10.08, 11:19
Weiß jemand was passiert wenn ich winbind aus der Datei nsswitch.conf entferne? Das heißt welche auswirkungen das im Zusammenspiel mit dem AD hat?


-----code----- fehlt noch immer

dein system findet die user vom ad nicht mehr

akkie
22.10.08, 17:26
Ist das jetzt ein Gentoo spezifisches Problem?


-----code----- fehlt noch immer

Ich habe doch CODE-Tags gesetzt:confused:

Mfg Akkie

muell200
22.10.08, 17:44
Ist das jetzt ein Gentoo spezifisches Problem?


nein




Ich habe doch CODE-Tags gesetzt:confused:


mhh. also ich sehe keine...

fubar
22.10.08, 18:53
nein




mhh. also ich sehe keine...

ich seh die Dinger ;-)


hat er wohl hier gemacht:

Geändert von akkie (Gestern um 13:46 Uhr).