@pn
mir schon klar, dass ich mit den ACLs granulierte berechtigungen setzen kann, was ich in meiner domäne für die zugriffe auf shares ja auch mache....
nur kann das ACL FS auch ohne gruppenverwaltung via ldap-backend exisitieren und umgekehrt - deshalb habe ich nach der direkten beziehung (abhängigkeit beider gefragt) - okay, seis drum
zum usermapping
net groupmap list
zeigt dir deine aktuellen mappings von NT-User auf Unix-User
ein eintrag im ldap backend, um die NT-Gruppe "Benutzer" auf die Unix Gruppe "Benutzer" abzubilden, muss folglich so aussehen, damit, wenn samba sich die user/gruppen aus ldapsam holt, die mappings klappen
Code:
/bin/cat <<EOF>/tmp/ldap/groupadd.ldif
# $GROUPNAME, $OUGROUP, $DOMAIN
dn: uid=$GROUPNAME,ou=$OUGROUP,$BASEDN
objectClass: posixGroup
objectClass: uidObject
objectClass: sambaGroupMapping
cn: $GROUPNAME
uid: $GROUPNAME
gidNumber: $GroupID
sambaSID: $DOMAINSID-$GRID
sambaGroupType: 2
displayName: $GROUPNAME
EOF
/bin/cat <<EOF>/tmp/ldap/idmapadd.ldif
# $GroupID, $OUIDMAP, $DOMAIN
dn: gidNumber=$GroupID,ou=$OUIDMAP,$BASEDN
objectClass: person
objectClass: sambaIdmapEntry
cn: $GROUPNAME
sn: $GROUPNAME
gidNumber: $GroupID
sambaSID: $DOMAINSID-$GRID
EOF
erklärung der VARS
GROUPNAME=Benutzer
OUGROUP=Organisational Unit, unterhalb der die gruppen befinden (groups, ... )
OUIDMAP=Organisational Unit, unterhalb der die IDMAPings gespeichert werden
BASEDN=anzuhängende DN (dc=your,dc=domain,dc=de)
DOMAIN=Samba Domain Name (testdomain, ... )
GroupID=GID der neuen Gruppe "Benutzer" (nächst freie wählen oder raussuchen lassen via script)
DOMAINSID=SID der Domäne
GRID=(2 x GroupID von POSIXGROUP "Benutzer") + 1001
greez
Lesezeichen