Samba ist in ADS-Domäne - Dateibesitzer nicht

Lukas Kolbe lucky at knup.de
Thu Feb 10 11:57:38 CET 2005 

Am Montag, den 07.02.2005, 14:18 +0100 schrieb Maximilian Wilhelm:

Sorry für das kaputte Quoting, mein Evolution macht mist.



>> Selbes Problem :). Wir haben hier einen Samba-Server, der per security =
>> ADS an die Domäne angebunden ist, zugleich noch eine NIS-Domäne (die
>> aber bald aussterben soll). Auf dem Samba-Server läuft auch Winbind.
>
>> Winbind stellt das Mapping zwischen Unix-UIDs und Windows-SIDs zur
>> Verfügung, in der Standardeinstellung speichert er dieses Mapping lokal
>> irgendwo in /var/lib/samba in einer trivial database.
>
>Funktioniert das so wie hier angedacht?

Ja, das Mapping funktioniert. Allerdings haben wir das noch nicht
integriert - NIS-Uids und Windows-SIDs sind völlig unabhängig
voneinander. 
Eigentlich sind die Linux-Rechner, die im ADS angemeldet sind, nicht
mehr im NIS vorhanden.

>> Allerdings gibt es die Möglichkeit, dieses Mapping in einem
>> LDAP-Verzeichnis zentral vorzuhalten, und tadaaa - wenn man SIDs der
>> Windows-Benutzer und UIDs der NIS-Benutzer kennt, sollte es sich gut
>> Skripten lassen, so ein LDAP-Baum entsprechend zu modifizieren.
>
>Habt Ihr nur die posixAccounts im LDAP oder habt Ihr da auch das
>Samba-Geraffel mit drin (Ich vermute mal ganz stark ersteres :))

Wir haben leider noch gar nichts im LDAP, das ist wie gesagt alles noch
in der Planung. SambaSAMAccounts werden wir wohl nicht dort ablegen, da
wir die von "upstream" bekommen (in MS ist die Rechnerverwaltung
"dezentral" organisiert, die Domänenstruktur und -User kommen von
"oben"). 
Was wir aber im LDAP haben möchten, ist das Mapping SID <-> Unix-UID,
also der Dienst, den Winbind zur Verfügung stellt. Dadurch könnte man
das Mapping naemlich beliebig manipulieren ( = unix-uids and die
NIS-uids anpassen) und vor allem zentral vorhalten. 
Ansonsten generiert Winbind auf jedem Server halt eigene Mappings, so
dass man mit der selben ADS-Kennung auf unterschiedlichen Unix-Rechnern
unterschiedliche Unix-UIDs bekommt.

>> Interesse an so einem Skript ist meinerseits natürlich vorhanden :)
>
>Hmm wenn Du mich davon ueberzeugs dass ich das brauche und mir ne Idee
>gibts wie das im LDAP aussehen muss schreib ich da was...
>(Die Idee hatte doch bistimmt schonmal wer vorher, oder?)

Wie genau das im LDAP aussieht, weiss ich auch nicht. Aus
http://us4.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html#id2560280 werd ich allerdings auch nicht so ganz schlau.

Generell finde ich die Samba-Dokumentation zwar recht massig vorhanden,
aber stellenweise zu wenig ausführlich.

>Ciao
>Max

-- 
Lukas

More information about the Linux mailing list