LDAP, Samba und Directory Administrator
Hallo Leute Ich habe ein Problem mit meinem LDAP, dem Samba und dem DA. Die Situation: Ich habe mit Hilfe des Directory Administrator etwa 50 Linux/Samba-Accounts angelegt. Alle scheinen zu funktionieren und ein einziger nicht, zuvälligerweise mein eigener. Ich kann mich wohl mit "su bd -s /bin/bash" (weil ich allen Samba-Nutzern keine Shell gebe) auf den Account wechseln. "smbclient //<server>/bd -U bd funktioniert nicht, bei allen anderen aber schon. Woran könnte es liegen, dass ausgerechnet _dieser_ nicht tut? Ich habe ihn auch schon gelöscht, das Verzeichnis entfernt, ihn neu angelegt etc. Es half nichts! slapcat liefert für bd: dn: uid=bd,ou=lehrpersonen,ou=user,dc=ksobwalden,dc=ch objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: sambaAccount objectClass: top objectClass: posixAccount objectClass: shadowAccount uid: bd uidNumber: 860 gidNumber: 200 givenName: Beda sn: Szukics cn: Beda Szukics homeDirectory: /home/bd loginShell: /bin/false gecos: Beda Szukics userPassword:: <pw-hash> shadowLastChange: 12534 lmPassword: <pw-hash> ntPassword: <pw-hash> rid: 2720 structuralObjectClass: inetOrgPerson entryUUID: d0b6b784-2c01-1028-9444-913dd8579fbe creatorsName: cn=Manager,dc=ksobwalden,dc=ch createTimestamp: 20040426191525Z entryCSN: 2004042619:15:25Z#0x0001#0#0000 modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040426191525Z Sieht doch ordentlich aus, oder? Das Ändern des Passwortes als root mit smbpasswd bd hilft auch nichts. Noch ein zweites Problem. Manchmal, wenn ich im Directory Administrator einen neuen Nutzer anlegen will, so kann es am Schluss vorkommen, dass er ich beklagt, die Gruppe, in die ich den Nutzer eintragen wolle, existiere nicht mehr. Wenn ich dann notgedrungen aussteige, wird sie tatsächlich vom DA nicht mehr angezeigt, ist auch im Yast und sonstwo nicht mehr zu finden, doch slapcat zeigt den Eintrag immer noch. Es hilft dann nur das Löschen mit ldapdelete oder das Neuanlegen des ganzen LDAP (ich mach mittlerweile fleissig Sicherungen :) Habt ihr ne Ahnung, was da vorgehen könnte. Ich würde gerne LDAP nutzen, doch wenn ich diese Probleme nicht lösen kann, schmeiss ich's von der Platte und arbeite mit passwd/smbpasswd. Es läuft ein SuSE 9.0 Samba und LDAP auf der gleichen Maschine. Gruss Beda
"Beda Szukics"
Hallo Leute
Ich habe ein Problem mit meinem LDAP, dem Samba und dem DA. Die Situation: Ich habe mit Hilfe des Directory Administrator etwa 50 Linux/Samba-Accounts angelegt. Alle scheinen zu funktionieren und ein einziger nicht, zuvälligerweise mein eigener. Ich kann mich wohl mit "su bd -s /bin/bash" (weil ich allen Samba-Nutzern keine Shell gebe) auf den Account wechseln. "smbclient //<server>/bd -U bd funktioniert nicht, bei allen anderen aber schon. Woran könnte es liegen, dass ausgerechnet _dieser_ nicht tut? Ich habe ihn auch schon gelöscht, das Verzeichnis entfernt, ihn neu angelegt etc. Es half nichts! slapcat liefert für bd: dn: uid=bd,ou=lehrpersonen,ou=user,dc=ksobwalden,dc=ch
Dein Problem ist kein Samba, oder LDAP Problem, sondern hat zwei Ursachen, 1. PAM da würde ich die Konfiguration für pam_ldap und nsswitch prüfen, 2. würde ich die Rechte für /home/bd prüfen, das scheint mir ein typisches Rechteproblem zu sein.
objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: sambaAccount objectClass: top objectClass: posixAccount objectClass: shadowAccount uid: bd uidNumber: 860 gidNumber: 200 givenName: Beda sn: Szukics cn: Beda Szukics homeDirectory: /home/bd loginShell: /bin/false gecos: Beda Szukics userPassword:: <pw-hash> shadowLastChange: 12534 lmPassword: <pw-hash> ntPassword: <pw-hash> rid: 2720 structuralObjectClass: inetOrgPerson entryUUID: d0b6b784-2c01-1028-9444-913dd8579fbe creatorsName: cn=Manager,dc=ksobwalden,dc=ch createTimestamp: 20040426191525Z entryCSN: 2004042619:15:25Z#0x0001#0#0000 modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040426191525Z
Das ist alles OK
Sieht doch ordentlich aus, oder? Das Ändern des Passwortes als root mit smbpasswd bd hilft auch nichts. Noch ein zweites Problem. Manchmal, wenn ich im Directory Administrator einen neuen Nutzer anlegen will, so kann es am Schluss vorkommen, dass er ich beklagt, die Gruppe, in die ich den Nutzer eintragen wolle, existiere nicht mehr.
Du weißt daß Directory Administrator noch ziemlich buggy ist, kann es sein, daß du durch einen unbedachten Mausklick das Löschen der Gruppe verusachst? Sonst frage mal auf der Directory Administrator Mailingliste, die ist z.Zt. mal wieder aktiv. [...] -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Dieter
uid=bd,ou=lehrpersonen,ou=user,dc=ksobwalden,dc=ch
Dein Problem ist kein Samba, oder LDAP Problem, sondern hat zwei Ursachen, 1. PAM da würde ich die Konfiguration für pam_ldap und nsswitch prüfen,
Mach ich.
2. würde ich die Rechte für /home/bd prüfen, das scheint mir ein typisches Rechteproblem zu sein.
Ich hab das Verzeichnis auch schon wieder gelöscht, neu angelegt, chown bd.doscentes /home/bd gemacht: Das gleiche Resultat. Und nur bei dem einen Account (ganz am Anfang hatte ich den mal als Unix-Account in passwd angelegt, aber schon lange wieder gelöscht). Zudem funktioniert "su bd -s /bin/bash". Naje, am Ende taufe ich mich einfach um. :-)
objectClass: organizationalPerson ... modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040426191525Z
Das ist alles OK
Beruhigend :-)
Sieht doch ordentlich aus, oder? Das Ändern des Passwortes als root mit smbpasswd bd hilft auch nichts. Noch ein zweites Problem. Manchmal, wenn ich im Directory Administrator einen neuen Nutzer anlegen will, so kann es am Schluss vorkommen, dass er ich beklagt, die Gruppe, in die ich den Nutzer eintragen wolle, existiere nicht mehr.
Du weißt daß Directory Administrator noch ziemlich buggy ist, kann es sein, daß du durch einen unbedachten Mausklick das Löschen der Gruppe verusachst? Sonst frage mal auf der Directory Administrator Mailingliste, die ist z.Zt. mal wieder aktiv.
Welches Tool würdest Du mir empfehlen? Ich habe es bisher mit dem Directory Administrator und mit LDAP-Account-Manager versucht. Beide scheinen mir nicht über alle Zweifel erhaben zu sein. Zudem akzeptiert LAM keine so kurzen (2 Buchstaben) IDs. Meine Kollegen wollen aber keine gespaltenen Persönlichkeiten, ihre ID soll gleich lauten wie der Kürzel in der Stundentafel. Ich bräuchte ein Tool, mit dem ich neue Samba-Nutzer _und_ ihre Home-Verzeichnisse anlegen kann. Gruss und Dank Beda
Hallo Beda,
"Beda Szukics"
Hallo Dieter
uid=bd,ou=lehrpersonen,ou=user,dc=ksobwalden,dc=ch Dein Problem ist kein Samba, oder LDAP Problem, sondern hat zwei Ursachen, 1. PAM da würde ich die Konfiguration für pam_ldap und nsswitch prüfen,
Mach ich.
2. würde ich die Rechte für /home/bd prüfen, das scheint mir ein typisches Rechteproblem zu sein. [...] Welches Tool würdest Du mir empfehlen? Ich habe es bisher mit dem Directory Administrator und mit LDAP-Account-Manager versucht. Beide scheinen mir nicht über alle Zweifel erhaben zu sein. Zudem akzeptiert LAM keine so kurzen (2 Buchstaben) IDs. Meine Kollegen wollen aber keine gespaltenen Persönlichkeiten, ihre ID soll gleich lauten wie der Kürzel in der Stundentafel. Ich bräuchte ein Tool, mit dem ich neue Samba-Nutzer _und_ ihre Home-Verzeichnisse anlegen kann. Gruss und
Du kennst meine Meinung zu dem Thema, das sicherste System sind immer noch 10 Finger, eine gute Tastatur und ein Editor. :-) Ich habe hier GQ, ldapbrowser , JXplorer, phpLDAPamdin, Directory Administrator, alle haben sie ihre Vorteile, aber auch Nachteile. Directory Administrator ist mal wieder in eine aktive Entwicklungsphase getreten, das wird aber noch einige Monate dauern, bis damit auch OpenLDAP-2.1 bzw. OpenLDAP-2.2 wirklich gut unterstützt wird. phpLDAPadmin, ist noch beta, Version 0.9.4 hat aber leider Schwächen bei der Samba-Integration, da die Templates überarbeitet werden müßten. Ich würde phpLDAPadmin und JXplorer testen, ob diese den eigenen Bedürfnissen entsprechen. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Dieter
Ich habe ein Problem mit meinem LDAP, dem Samba und dem DA. Die Situation: Ich habe mit Hilfe des Directory Administrator etwa 50 Linux/Samba-Accounts angelegt. Alle scheinen zu funktionieren und ein einziger nicht, zuvälligerweise mein eigener. Ich kann mich wohl mit "su bd -s /bin/bash" (weil ich allen Samba-Nutzern keine Shell gebe) auf den Account wechseln. "smbclient //<server>/bd -U bd funktioniert nicht, bei allen anderen aber schon. Woran könnte es liegen, dass ausgerechnet _dieser_ nicht tut? Ich habe ihn auch schon gelöscht, das Verzeichnis entfernt, ihn neu angelegt etc. Es half nichts! slapcat liefert für bd: dn: uid=bd,ou=lehrpersonen,ou=user,dc=ksobwalden,dc=ch
Dein Problem ist kein Samba, oder LDAP Problem, sondern hat zwei Ursachen, 1. PAM da würde ich die Konfiguration für pam_ldap und nsswitch prüfen, 2. würde ich die Rechte für /home/bd prüfen, das scheint mir ein typisches Rechteproblem zu sein.
objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: sambaAccount objectClass: top objectClass: posixAccount objectClass: shadowAccount uid: bd uidNumber: 860 gidNumber: 200 givenName: Beda sn: Szukics cn: Beda Szukics homeDirectory: /home/bd loginShell: /bin/false gecos: Beda Szukics userPassword:: <pw-hash> shadowLastChange: 12534 lmPassword: <pw-hash> ntPassword: <pw-hash> rid: 2720 structuralObjectClass: inetOrgPerson entryUUID: d0b6b784-2c01-1028-9444-913dd8579fbe creatorsName: cn=Manager,dc=ksobwalden,dc=ch createTimestamp: 20040426191525Z entryCSN: 2004042619:15:25Z#0x0001#0#0000 modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040426191525Z
Das ist alles OK
Sieht doch ordentlich aus, oder? Das Ändern des Passwortes als root mit smbpasswd bd hilft auch nichts. Noch ein zweites Problem. Manchmal, wenn ich im Directory Administrator einen neuen Nutzer anlegen will, so kann es am Schluss vorkommen, dass er ich beklagt, die Gruppe, in die ich den Nutzer eintragen wolle, existiere nicht mehr.
Du weißt daß Directory Administrator noch ziemlich buggy ist, kann es sein, daß du durch einen unbedachten Mausklick das Löschen der Gruppe verusachst? Sonst frage mal auf der Directory Administrator Mailingliste, die ist z.Zt. mal wieder aktiv.
Ich scheine ein tiefgreifenderes Problem zu haben. Eben wollte ich mit Yast überprüfen, ob die Einträge in die Gruppe ntadmin stimmten. Ich habe die LDAP-Gruppen aufgerufen, die Einträge nachgesehen, ergänzt (br und em) und abgeschlossen. Danach habe ich Yast nochmals aufgerufen und die Gruppe ntadmin ist verschwunden. Slapcat findet sie immer noch: slapcat von heute Abend (27.4., ca. 20:55): ========================================== dn: cn=ntadmin,ou=group,dc=ksobwalden,dc=ch objectClass: posixGroup cn: ntadmin gidNumber: 71 description: Samba-Administratoren memberUid: br memberUid: em structuralObjectClass: posixGroup entryUUID: dbd1d9fe-2a36-1028-8caa-db205eeaa9cc creatorsName: cn=Manager,dc=ksobwalden,dc=ch createTimestamp: 20040424123004Z entryCSN: 2004042718:52:50Z#0x0001#0#0000 modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040427185250Z Der einzige Unterschied zur alten Sicherung scheint der Änderungszeitpunkt zu sein. Alte Sicherung (von 26.4.) =========================================== dn: cn=ntadmin,ou=group,dc=ksobwalden,dc=ch objectClass: posixGroup cn: ntadmin gidNumber: 71 description: Samba-Administratoren memberUid: br memberUid: em structuralObjectClass: posixGroup entryUUID: dbd1d9fe-2a36-1028-8caa-db205eeaa9cc creatorsName: cn=Manager,dc=ksobwalden,dc=ch createTimestamp: 20040424123004Z entryCSN: 2004042619:05:01Z#0x0003#0#0000 modifiersName: cn=Manager,dc=ksobwalden,dc=ch modifyTimestamp: 20040426190501Z Laut SuSE-Dokumentation genügt für pam der folgende Eintrag in /etc/security/pam_unix2.conf: auth: use_ldap nullok account: use_ldap password: use_ldap nullok session: none In /etc/pam.d steht jeweils auth required pam_unix.so account required pam_unix.so Wenn ich das richtig verstehe, so sollte ldap richtig verwendet werden. Spiele ich die gestrige Sicherung wieder ein, ist die Gruppe ntadmin wieder da. Gruss Beda
Hallo Beda,
"Beda Szukics"
Hallo Dieter [...] Ich scheine ein tiefgreifenderes Problem zu haben. Eben wollte ich mit Yast überprüfen, ob die Einträge in die Gruppe ntadmin stimmten. Ich habe die LDAP-Gruppen aufgerufen, die Einträge nachgesehen, ergänzt (br und em) und abgeschlossen. Danach habe ich Yast nochmals aufgerufen und die Gruppe ntadmin ist verschwunden. Slapcat findet sie immer noch: slapcat von heute Abend (27.4., ca. 20:55):
Ich habe eine tiefgreifende Abneigung gegen Tools, sofern ich sie nicht verstehe, Yast2 gehört dazu. Ich kann nicht nachvollziehen, was Yast2 mit dem Verzeichnisdienst macht. [...]
pam der folgende Eintrag in /etc/security/pam_unix2.conf: auth: use_ldap nullok account: use_ldap password: use_ldap nullok session: none In /etc/pam.d steht jeweils auth required pam_unix.so account required pam_unix.so Wenn ich das richtig verstehe, so sollte ldap richtig verwendet werden. Spiele ich die gestrige Sicherung wieder ein, ist die Gruppe ntadmin wieder da.
Ehrlich gesagt, ich weiß nicht und verstehe auch nicht, was du da treibst. Du bist nicht zufällig Appenzeller:-) -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (2)
-
Beda Szukics
-
Dieter Kluenter