Suffixe ab Samba 3.0

[pnuernbe]

Hallo,

in der Samba HOWTO Collection wird auf Seite 127 darauf hingewiesen das bei der Benutzung eines ldap Backen's die Einträge...

ldap user suffix = ou=People
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers

in der smb.conf vorhanden sein müssen.

Wird damit genau festgelegt in welcher OU sich die Nutzer, bzw. Gruppen und Computer in meinem DIT eingetragen sein müssen ?
Wenn ja...kann das nicht sein weil verschiedene Verzeichnissmodelle zu einer speicherung der Benutzer innerhalb der OU "Abteilung1", OU "Abteilung2" usw. erzwingen. Muss dann ein zusätlicher Suffix angelegt werden...oder sind die einträge in der smb.conf nur für spezielle Objekte gedacht?

Gruß

pnuernbe

[[WCM]Manx]

Hi!

IMHO und laut "man smb.conf" muss nur der Eintrag "ldap suffix =" vorhanden sein.
Denn der bezeichnet die LDAP Base. Bleiben ldap user, group und computer leer wird "ldap suffix" benutzt.

Diese speziellen Einträge kommen eventuell dann zum tragen, wenn man Benutzer und Computer automatisch über die "add ..." scripts anlegen läßt.

Ansonsten kannst Du Deinen LDAP-Baum nach Herzenslust aufbauen.

Grüße

Manx

[pnuernbe]

Aha...dachte das müsste so sein, weil es extra als neues feature hervorgehoben wird. Teste am WE einfach mal alle Möglichen Kombinationen.
Könnte aber auch mit eventueller Leistungsoptimierung zur suche zusammenhängen...

Sag mir aber bitte noch eins...
hatte Dir ja schon mal geschrieben, daß ich meinen root mit pdbedit -a -u root im Verzeichnis angelegt habe.
Wenn ich mich jetzt aber als root am System anmelde, denke ich, das es der Wahre root ist der sich da einloggt...und nicht der VerzeichnisRoot. Der im Verzeichnis hat nähmlich ein anderes Passwort und kann somit auch auf shares (vom client aus) zugreifen. Da müsste doch normalerweise der nsswitch Mechanismus einen Riegel vorschieben. Oder wird erst auf die Existenz der VerzeichnisUser und dann der localenUser geprüft ?

Gruß


pnuernbe

[emba]

@pn

erst wird PAM gecheckt, danach evtl. funktionen via nsswitch.conf aufgerufen [1]
steht pam_ldap vor pam_unix und der user in beiden "verzeichnissen" so wird ggf. zuerst der ldap-user akzeptiert (abhängig von config des pam.d dienstes)

greez


[1]
das setzt voraus, dass die applikation zumindest gegen pam gelinkt ist

[[WCM]Manx]

Original geschrieben von pnuernbe

Sag mir aber bitte noch eins...
hatte Dir ja schon mal geschrieben, daß ich meinen root mit pdbedit -a -u root im Verzeichnis angelegt habe.
Wenn ich mich jetzt aber als root am System anmelde, denke ich, das es der Wahre root ist der sich da einloggt...und nicht der VerzeichnisRoot. Der im Verzeichnis hat nähmlich ein anderes Passwort und kann somit auch auf shares (vom client aus) zugreifen. Da müsste doch normalerweise der nsswitch Mechanismus einen Riegel vorschieben. Oder wird erst auf die Existenz der VerzeichnisUser und dann der localenUser geprüft ?

... ich hab Deine Frage nicht 100%ig verstanden

Ich hab einen root in der /etc/shadow; mit "pdbedit -a -u root" die SambaAttribute ins LDAP übernommen. Dieser root hat ein anderes Passwort (NT/LM Hash).

Melde ich mich von Windows aus als root an (um Rechner in die Domain zu bringen z.B) brauch ich das LDAP-root Passwort. Trotzdem hat dieser LDAP-Root vollen Zugriff auf das Linuxdateisystem (mit Rootrechten des /etc/shadow root).

Meine bescheidene (vielleicht falsche) Erklärung:
Über die sambaAlgrithmicRidBase (default 1000) wird die LDAP-Root Samba RID (1000) bzw GroupRID (1001) zurückgemappt auf die Linux UID/GID => und das ergibt 0/0, somit Linux Rootrechte.

Ich hab die verschiedenen Kennwörter aus Sicherheitsgründen.
Wird der Root NT/LM Hash ersniffert, bleibt das /etc/shadow Passwort verschont.
Natürlich macht das dann Sinn in den Samba-Freigaben root in den "invalid users" anzuführen, somit wird auch ein Löschen von Dateien als ersnifferter Root unmöglich!

Grüße

Manx