[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ldpa und samba und wingruppenrechte

Bjoern Schmidt <bj-schmidt@uni-paderborn.de> wrote:
> Sven Hartge wrote:

>> Und noch dazu nervt Samba immer mit einem:
>> 
>> pdc smbd[11079]:   Failed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingFailed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingFailed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingFailed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingFailed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingFailed to open group mapping database
>> pdc smbd[11079]:   failed to initialize group mappingget_alias_user_groups: gid of user mark doesn't exist. Check your /etc/passwd and /etc/group files
>> 
>> Das ist natürlich Dummfug, die gid existiert (via LDAP) und wird von
>> Samba auch (via LDAP) gefunden, genau wie die Database.

> Da bin ich mir nicht so sicher. Wie hast Du das GroupMapping in der
> smb.conf festgelegt? Welches passdb backend nutzt Du?

passdb backend = ldapsam, guest

Ach ja: Das ganze ist von Backports.org.

>> Da alles funktioniert betrachte ich diese Meldungen einmal als
>> unschöne, aber nur kosmetische Äußerung. 

> Das will ich pauschal nicht bestätigen. Was sagt denn 'net groupmap
> list'?

Die korrekte Ausgabe (an die ich gerade nicht herankomme). Aber ich habe
dort den korrekten Windows-Namen, die passende SID und den passenden
Unix-Gruppen-Namen, wie ich es definiert habe.

Hier die Ausgabe von einem anderen PDC, der aber identisch konfiguriert
ist und diese Meldungen auch zeigt:

mark (S-1-5-21-xxx-xxx-xxx-11003) -> mark
oweh (S-1-5-21-xxx-xxx-xxx-11005) -> oweh
Domain Admins (S-1-5-21-xxx-xxx-xxx-512) -> ntadmins
Domain Users (S-1-5-21-xxx-xxx-xxx-513) -> ntusr
[...]

Und auf den Windows-Rechner haben die User auch die korrekte
Zugehörigkeit, also spricht vieles dafür, das es funktioniert, oder?

>> Was aber, wenn man jetzt weitere Gruppen hat? Diese nicht-"magischen"
>> Gruppen muss man wohl oder übel manuell eintragen, oder?

> Du kannst alle Gruppen per LDAP definieren. Natürlich musst Du
> zusätzlich angeben wer in jeder Gruppe Mitglied ist. Sonst bringt Dir
> alles weitere gar nichts.

Ja, natürlich. Ich habe da so nette Gruppen wie labgrp1, labgrp2,
labadm, prntgrp und admgrp (auf Administratoren gemapt). Die
entsprechenden User sind da auch drin (getent group bestätigt dies).

Wenn ich jetzt aber will, das die User von labgrp2 auf 20 (der 100)
Rechnern auch Admin-Rechte haben, dann muss ich manuell die labgrp2
(Bzw. natürlich den Windows-Namen "Labor Gruppe 2") in die Gruppe
Administratoren auf diesen Rechnern aufnehmen. (Oder ich mache weitere
Domänen auf und packe die Rechner dann jeweils in die passende Domäne,
aber das wäre noch mehr Chaos.)

S°

-- 
142 Reasons, Why You Can't Find Your System Administrator
89. On the roof of the building, contemplating traffic.
Reply to: