[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian als Client an Samba-Domäne

Hallo Rico, hallo Martin,
Entschuldigung, dass ich jetzt erst reagiere. Hatte die letzte Tage keine Möglichkeit zu antworten. Ich nehme mal diese Mail, um gleich auf alle Argumente reagieren zu können.
Vorab wegen die libnss-ldapd und libpam-ldapd: Ich hatte hier vor geraumer Zeit (1,5 Jahre?) wegen Problemen mit dem Start des LDAPs nachgefragt und da gab es leider nur den Verweis auf einen (großen) Thread ohne Ergebnis. Durch einen anderen Mitstreiter unserer Gruppe wurde aber ein Lösung angegeben, die ich hier auch gepostet hatte (es müssen dazu nur bestimmte Accounts und Gruppen angelegt werden) und seit dem ist das Problem bzw. sind die Fehlermeldungen weg.
Die Fehlermeldungen kamen durch irgendwelche udev-Regeln, die nicht erfüllt waren. Wenn man da mit irgendwelchen Dämonen das Problem umgeht, dann werden hier aus meiner Sicht eher mehr Rechte einem eigentlich nicht benötigten Dämon gegeben. Zudem, wenn man hier einen solchen Stellvertreter zwischenschaltet, dann kann ich mir vorstellen, dass das ACL-System vom LDAP ausgehebelt wird, um nicht gar zu sagen, dass das 'ad absurdum' geführt wird. Aber das ist nur meine Meinung als Laie. jedenfalls ist die Argumentation für libnss-ldapd und libpam-ldapd alles andere als überzeugend. Aber das ist hier m.E. nicht relevant, weil das doch nur für den Server gebraucht wird - oder denke ich da falsch? 

Am 03.08.2011 09:08, schrieb Rico Koerner:

Am 02.08.2011 20:48, schrieb Martin Reising:

On Tue, Aug 02, 2011 at 03:28:16PM +0200, Rico Koerner wrote:

Am 02.08.2011 12:22, schrieb Martin Reising:

Wie kann man denn PAM und NSS ohne Rootrechte verwenden, im
gefragten Kontext?


NSS geht grundsätzlich ohne Rootrechte, /etc/passwd ist von jedem
lesbar. PAM benötigt Rootrechte, wenn es auf /etc/shadow zugreifen
muß. Im Falle von LDAP gibt es 2 Möglichkeiten, einen bind mit
einer bestimmten DN, um das Passwort zu lesen oder ein AUTH gegen
LDAP. Beides kommt ohne Rootrechte im System aus.


Ich hatte schon vermutet das du mit System den Samba-Server meinst
und nicht die Linux Workstation die sich die
Benutzer/Gruppen-Informationen eben dort erfragt. Auf der Workstation
läuft der [gkx]dm zwangsläufig als root.


Das ist unerheblich, ob auf dem Client irgendein Programm als root
läuft, das wird es wahrscheinlich immer geben. Und das hat ja nun noch
viel weniger mit Samba oder LDAP zu tun. Danach wurde ja noch gar nicht
gefragt. Könnte es sein, daß hier nur die Anmeldung bzgl.
File/Druckservice gefragt war? Und ggf. die Aufnahme des Clients in die
Domäne?
Ich habe doch etwas gefunden (etwas blamabel für mich, da ich jahrelang einen Arktur eingesetzt hatte): die Anleitung für die SuSE-Clients bei Arktur sollte übertragen werden können: 

http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:SUSELinux
die Anleitung für Debian/Ubuntu ist nicht passend, weil die Probleme, die dieser Server an dieser Stelle hat, bei uns einfach nicht relevant sind. Die UIDs der User (im LDAP) fangen bei uns erst bei 10000 an, die GIDs ab 1000. 

http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:DebianLinux
http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:UbuntuLinux


Ich meinte damit, daß ich z.B. Benutzer in unterschiedlichen OUs
ablege und PAM dann sagen möchte, daß nur die posixAccounts aus
einer bestimmten OU für einen bestimmten Service zu verwenden
sind.
wir verwalten im LDAP nur die User, Gruppen, Rechner und die festen IPs (also DHCP). Die User, Gruppen und Rechner werden bei uns so angelegt, wie es die smbldap-Tools machen (würden), allerdings wurden ein paar Kleinigkeiten von smbldap-populate korrigiert und der root-Account in 'Administrator' umbenannt. Aber ansonsten alles kompatibel zu den smbldap-Tools. 


Dafür setzt man doch die Searchbase, die Filter und die Attribute in
/etc/ldap.conf


Das ist ja nun mal eine Konfiguration, die als Default für alle gilt,
aber nicht für spezielle Programme.


Dann frag ich mich, warum du lib[pam|nss]-ldap überhaupt erst in
Runde geworfen hast, wenn das in dem Kontext gar nicht relevant
ist?
in der oben genannten Anleitung für die Debian-Clients wird ja deutlich, dass PAM und NSS angepasst werden muss. 


Wie sollen denn ohne libpam-ldap die Informationen vom Samba-Server
erfragt werden?
mir geht es jetzt überhaupt erstmal um eine brauchbare Konfiguration eines Debian-Clients an den Server. Wenn möglich genauso einfach zu händeln (also möglichst menügeführt) wie hier in der Anleitung zu den SuSE-Clients. Eine Anleitung komplett ohne Menüs, damit die Konfiguration in ein Script/Paket gesteckt werden kann, wird natürlich auch noch gebraucht - später. ;) 

Viele Grüße
Hans-Dietrich
Reply to: