Beiträge von sailor

Hallo,

habe eine Lösung gefunden

1. JXplorer (Java LDAP-Browser) geladen, damit eine Verbindung zum LDAP des NAS hergestellt

2. Mir die Tabellen des Zweigs "people" angeschaut und von Hand manipuliert.
- Änderung der Benutzer-ID (uuid, weiß jetzt nicht mehr das Label) auf 1000 ++
- Änderung der Tabellen im ID-Bereich auf 1000 - 2000000 und die akt./letzte ID von
Hand eingetragen.

3. chown auf die Heimatverzeichnisse gemacht, damit die neue uuid zum Eigentümer passt

4. Den mountpoint der Benutzerverzeichnisse auf /home geändert und dort mittels nfs ein-
gebunden. Eintrag aus der /etc/fstab:
NAS-IP:/share/MD0_DATA/linux-homes /home nfs defaults 1 1

5. Die Berechtigungen für den NFS-Export auf das lokale Netz beschränkt und rw-Rechte vergeben

6. Dann die Authentifikation der Linux-Client von Windows-Domäne auf LDAP umgestellt, den Rechner
aber in der Domäne drin gelassen, damit der lokale Samba mit den Freigaben noch enwandfrei
läuft. Damit ist bei der Anmeldung keine Angabe der Domäne mehr erforderlich, der
Benutzername reicht aus.

7. WICHTIG: Mittels LDAP-Browser eine Login-Shell vergeben, sonst gibt es Mecker
bei der grafischen Anmeldung!

Mit diesen Einstellungen kommen die Benutzer einwandfrei rüber, die uuid wird korrekt auf alle Rechner im lokalen Netz weitergegeben. Der Zugriff auf die Freigaben der anderen Rechner erfolgt nach Angabe von Benutzername und Kennwort (Authentifizierung und Berechtigung über die Samba-Domäne) einwandfrei, die uuid's werden korrekt weitergegeben und neue Dateien mit den entsprechenden Rechten und Benutzern angelegt.

Anmeldung an einer Windows-Schüssel klappt auch einwandfrei, die Benutzer laufen, haben die korrekten Rechte im Samba-Netz und können auf die Linux-Freigaben zugreifen!

Das Mapping der Windows-User-ID (SID) erfolgt im LDAP. Dort sind beide User-ID's eingetragen. Bei den von mir vorgenommenen Änderungen habe ich die SID von Windows nicht angefasst, deshalb läuft da noch alles problemlos.

Genau so habe ich mir das vorgestellt! :mrgreen:

Kleine Frage an die Winbind-Spezis:
- In meinen smb.conf steht immer ein uid-Bereich von 100000-200000.
Ist das für das Mapping der uid's erforderlich?
- Kann man vielleicht in dem Installationsscript die uuid's in den Bereich *unter* diesem
Winbind-Bereich verlagern, damit es nicht zu Problemen kommt?

Grüße von der Nordsee!

Max

Moin,

danke für die schnelle Rückmeldung. Das werde ich mal probieren. Das müsste dann ja über die lokale /etc/samba/smbusers gehen. Werde ich heute Nachmittag bzw. morgen Vormittag mal testen. Schreibe dann Bescheid, was dabei rauskommt.

Mein anderer Gedanke wäre sonst gewesen, eine Authentifikation über den LDAP des NAS direkt zu versuchen. Dazu wollte ich mir allerdings erst einmal den LDAP-Browser (dieses Java-Geraffel ) holen und mir die Struktur im LDAP selbst anschauen, damit ich da den richtigen Pfad erwische ... Da müsste ja auch drin stehen, mit welcher uid der Benutzer drin steht.

Das ist auch noch eine Frage: Wenn ich auf dem NAS direkt (über die bash) nachschaue, welche ID der user hat, ist das auch eine andere, als auf dem entfernten Clienten.

Bleistift - ähm, Beispiel:
Nas: id max - 10001
lokal: id DOMAIN\\max - 1000001

Man beachte die Anzahl der Nullen (nein, das bin nicht ich!).

Irgend wie so etwas kam da raus. Kann leider von hier nicht ssh'en, das macht die Firewall nicht mit
Mein Ansatz wäre sonst, die uid im LDAP von Hand zu manipulieren (über den LDAP-Browser).

Grüße

P. S.: ich darf das auch ohne "sudo" - ich kenne das root-PW :shock:

Hallo,

um hier die beiden Fragen dazu in einem Rutsch zu beantworten:

1. Ich nutze nicht nur die Freigaben (Samba-/NFS-Shares), sondern authentifiziere mich auch gegen die Domäne.

2. Ja, ich nutze den PDC (Samba!) zur Authentifizierung. Die Benutzer sind lokal nicht mehr in der passwd/shadow der Rechner eingetragen. Und ich authentifiziere mich auch gegen Samba und nicht gegen den LDAP (direkt) des NAS. Ich habe die Rechner über die Admin-Oberfläche der Domäne hinzugefügt. Die SuSE bietet dafür ja das komfortable Admin-Tool YaST. Beim einbinden in die Domäne wurde der Domain-Administrator mit Passwort abgefragt.

Wenn ich mich am Rechner anmelden will, muss ich zwingend (!) die Domäne mit angeben. Der GDM (oder auch KDM, ist egal) will die Nennung der Domain mit haben. Beim KDM kann ich die auswählen, bei GDM muss ich sie vor der Benutzerkennung eintippen. Wenn ich die Domain weglasse kann ich mich nicht anmelden.

Eine Abfage des Benutzers mid `id USERNAME` geht nur in der Form:
id DOMAIN\\USERNAME
Ohne Nennung der Domain gibt es ein "unknown user" zurück.

Max

Moin,

ich habe mal nach der Anleitung von af0815 (http://forum.qnapclub.de/viewt…&t=22305&p=125550#p125550 - vielen Dank dafür!) meine TS 212 mit FW 3.7.1 als PDC aufgesetzt. Anmeldung funzt im lokalen Netzwerk sowohl unter WinXP (SP 3) als auch Linux (OpenSuSE) einwandfrei. Unter Linux habe ich die Heimatverzeichnisse dann in eine Freigabe gelegt, die in das Verzeichnis /home/DOMAIN als NFS gemounted wird, damit man von überall drauf zugreifen kann. Das läuft auch. Aber jetzt kommt der Hammer

Die User haben auf unterschiedlichen Rechnern unterschiedliche UIDs. Der Benutzer Max hat auf seinem PC die UID 1000001, auf dem PC Tochter die UID 1000004 ???

Auf dem NAS läuft der Winbind, die Anmeldung funktioniert auch. Aber ich darf doch nicht mit unterschiedlichen UIDs rüberkommen ... Das macht mir doch alles kaputt.

Hat jemand eine Idee, was da nicht stimmt?

Grüße
Max