Hallo Dieter ich hoffe, du hast die fortsetzung gefunden. ich bin (dank deiner hilfe) nun gut vorangekommen. ldap mit samba geht gut, user lassen sich mit yast, lam oder pl-script anlegen und modifizieren. es gibt mit samba noch das problem, dass neue user die sich erstmalig an einer w2000 anmelden ihr benutzerprofil mit falschen (root) rechten speichern wollen. dies geht dann nicht (obwohl von den berechtigungen her es möglich wäre). ich muss hier noch etwas dazu forschen und ev. auch mal in der liste nachfragen. wie gesagt mit ldap geht es gut ausser der indexfrage. würdes du mir hier einmal helfen? ich habe in der slap.conf: # Indices to maintain index objectClass eq index uid,cn,sn,displayname pres,eq,sub #index rid,uidNumber eq #index mail,surname,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq #index default sub index memberUID eq #index uniqueMember eq diese indexe gehen. es gibt jedoch eine fehlermeldung beim anmelden: Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH base="dc=stag,dc=ch" scope=2 filter="(&(objectClass=posixGroup)(|(memberUid=root) (uniqueMember=uid=root,ou=people,dc=stag,dc=ch)))" Sep 17 14:15:00 stag-lx1 slapd[2489]: conn=2 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber Sep 17 14:15:00 stag-lx1 slapd[2489]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18) es ist noch so, das sich root gar nicht anmeldet. könnte das problem ev auch an den indexen (wird falsches von noch weiter oben gefunden) liegen? ich habe versucht memberUid und uniqueMember zu indexieren. dies gelang aber nicht. im buch samba3 von jens kühnel wird empfohlen: # Indices to maintain index objectClass eq index uid,cn,sn,displayname pres,eq,sub index uidNumber XXXXXXXX index mail,surname,givenname eq,subinitial index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq index default sub bei XXXXX fehlt leider etwas im buch. will ich nach obigen beispiel indexieren geht dies praktisch nicht (fehler verschiebt sich je nach dem was auskommentiert ist) bei XXX hatte ich zb. eq. könntest du mir bitte eine indexvariante nach obigem beispiel empfehlen? (ich gebe zu, dass ich mich über die indexe nicht so informiert habe, aber es gibt ja noch Dieter) herzlichen dank Bernhard
Hallo Bernhard, Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
Wie du siehst, habe ich die Fortsetzung gefunden :-) [...]
es ist noch so, das sich root gar nicht anmeldet. könnte das problem ev auch an den indexen (wird falsches von noch weiter oben gefunden) liegen?
Das sind eindeutig Suchaufträge von PAM, da solltest du dich nicht drum kümmern. Ich habe festgestellt, daß PAM ziemlich Resourcenfressend sein kann, denn für jedes Öffnen einer Datei, für nahezu jeden Tastendruck werden Rechte überprüft. Anfangs hatte ich mal einen ziemlich hohen Loglevel, innerhalb von wenigen Stunden war die Logdatei voll. Zum Thema uniqueMember, das kann nicht indiziert werden, da das die Syntax nicht zulässt, das ganze Attribut ist eine Krankheit. Wenn du es nicht verwendest und auch zukünftig nicht verwenden möchtest, kannst du die Suche in /etc/ldap.conf unterdrücken.
ich habe versucht memberUid und uniqueMember zu indexieren. dies gelang aber nicht.
MemberUid sollte problemlos indiziert werden können, auch als substring match, da muß der Fehler an anderer Stelle liegen.
Ich weiß ja nicht, was Jens Kühnel mit 'subinitial' meint, aber diesen Index gibt es nicht, also weg damit, denn das ist die Fehlerquelle. Es gibt: approx - für phonetische Ähnlichkeit eq - für exact match pres - für Präsenz, also ist vorhanden sub - für substring match, also Wildcard suche.
(ich gebe zu, dass ich mich über die indexe nicht so informiert habe, aber es gibt ja noch Dieter)
Na, na, jetzt muß ich den Oberlehrer--Zeigefinger heben :-) Bilden von Idices ist zwar wichtig, da hierdurch die Performance erheblich gesteigert werden kann, andererseits wird dadurch auch mehr Plattenplatz benötigt. Als Index sind die Attribute wichtig, die in einem Suchfilter enthalten sind, also üblicherweise cn, uid, sn, mail, welche Filter Samba verwendet kann ich nicht sagen Wenn du mal den Server etliche Tage durchlaufen läßt kannst du mit dem BerkeleyDB Tool 'db_stat' prüfen, wie oft auf die Indexdateien zu gegriffen wird und wie häufig Daten von der Platte gelesen werden müssen, danach kannst du dann deine Indices anpassen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter ich habe mich nun länger nicht mehr gemeldet. hatte noch andere probleme bzw. immer noch (Openwebmail). Na ja man kann sich nicht alles aussuchen. meine installation mit suse 9.0 ldap und samba läuft jetzt wirklich sehr gut und auch die indexe habe ich nun glaube ich io. ich habe gestern einmal vom bestehenden nt-pdc (dieser soll abgelöst werden) die daten (net .. vampire) abgesaugt und in ldap übernommen. hier kam dann die ernüchterung. die bisher gut laufenden scripte (smbtools..pl) haben nur teilweise funktioniert und auch noch weitere fragen offen lassen. es scheint, dass dieses net .. vampire auch nur teilweise damit klarkommt. es gab einige grobe fehler (zb. falsche oder keine objektklasse bei den usern, leere passwörter, usw. ich habe dann probeweise die scripte im smb.conf mit denen in der suse-musterconfig smbldap... getauscht und auch hier wieder neu und andere fehler festgestellt. einzig und allein wurde die gruppen (weiss der herrgott warum) immer gut übernommen. die domäne hat viele maschienen und viele user. dies hat die sache natürlich noch zusätzlich erschwert. ich habe keine möglichkeit gefunden den prozess nur auf teilbereiche zu begrenzen oder den ablauf genau zu debuggen. besonders die sache mit der uebertragung des passwortes ist mir völlig suspect. ich werde jetzt hier einen kleinen nt-server zum test aufsetzen, so dass wenigstens die datenmenge (um die probleme zu untersuchen) klein ist. es könnte auch sein, dass ich mit der datenübernahme vom nt in samba mit ldap einfach zuviel miteinander wollte. ein anderer weg wäre eine einfache variante der samba benutzerdatenbank zum übertrag und dann die migration nach ldap. ob das überhaupt so geht weiss ich aktuell noch nicht. die sache mit den pl.-scripten ist auch noch nicht ganz io. ich habe festgestellt, dass bei suse und samba bei weitem nicht die aktuellsten scripte dabei sind. ich hatte schon einmal die neuesten runtergeladen, musste aber festellen, dass dazu notwendige tools fehlen, bzw. auf der suse nicht vorhanden sind (scripte sind für rh). ich habe dann darauf verzichtet hier weiter zu machen. es wäre sehr freundlich von dir, wenn du zu dem einen oder anderen punkt mir noch etwas aus deinem (reichen) erfahrungsschatz mitteilen könntest. ich bin jetzt kommende woche in den ferien und daher könntest du dir auch damit zeit lassen. ein anderes problem drückt mich noch. ich frage dich einfach mal. wir haben unter suse 9.1 vor einiger zeit ein openwebmail eingerichtet. dies ging so ca. 10 tage gut. es sind perlscripte die dann mit suidperl ablaufen. der kunde hat sicher an seiner konfiguration etwas manipuliert (kann aber nicht sagen was und wo) und openwebmail geht nicht mehr. nach dem login, bevor das nächste modul geladen wird kommt: Out of memory! [Wed Sep 29 17:19:38 2004] [error] [client 192.168.190.22] Premature end of script headers: openwebmail.pl, referer: http://mail.netvision.ch/cgi-bin/openwebmail/openwebmail.pl es ist so, dass alle berechtigungen der scripte und des suidperl richtig sind. in der mailingliste von owm hat mir leider bisher noch niemand geantwortet. in der suse liste ich auch nichts schlaues dabei herausgekommen. ein ersatz von owm, perl und apache hat nichts gebracht? wie gesagt ich dachte ich frag mal. auf jeden fall und wie auch immer herzlichen dank und beste grüsse aus der schweiz. bernhard Am Freitag, 17. September 2004 17.36 schrieb Bernhard Buehler:
Hallo Bernhard, Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
[...] Du kannst ja mal versuchen ldapsearch zu verwenden und die ldif Ausgabe in eine Datei pipen. Du wirst vermutlich sowieso die NT Daten modifizieren müssen, da vermutlich nicht alle Objektklassen und Attribute 1 zu 1 übernommen werden können. Neben dem Tool ldapsearch kannst du natürlich auch ein Perlscript bauen. In dem besten aller Bücher findest du ein Basisscript.
[...] Ich muß gestehen, ich kenne Openwebmail nicht, kann dazu also auch nichts sagen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter wie schnell die Zeit vergeht. Ich habe nach meinen Ferien nun meine Arbeit wieder aufgenommen und bin eigentlich mit den Resultaten recht zufrieden. Du hast mir bisher sehr viel geholfen und ich möchte dir gerne noch einige Ergebnisse zum Userdatentransfer NT-Domäne nach Ldap/Samba übermitteln. Möglicherweise hast du ja daran Interesse oder kannst damit ev. jemand Anderem weiterhelfen. s. Unten Am Freitag, 1. Oktober 2004 11.53 schrieb Dieter Kluenter:
Der Transfer von Userdaten aus einem NT PDC (german) geht nun mit der Funktion net rpc vampire..wie folgt: 1) mit den Lpdaptools von 0.8.4 von IDEALX configure.pl und sbmbldap-populate.pl vorbereiten 2) user root mit SambaKlassen eröffnen, Administrator an root zuweisen (smb.conf) 3) alle NT-User vorab für Linux eröffnen (PosixAccount) 4) in smb.conf add machine script analog add user script anpassen 5) gruppen wenn möglich vorab auch manuell eröffnen 6) vampire laufen lassen (auch mehrfach möglich, wenn Korrekturen notwendig) zu 1) die älteren Tools haben recht viele Fehler zu 2) sonst geht die Passwortänderung nicht zu 3) leider ist der vampire nicht sehr transparent. Ist kein Linux-User vorhanden übernimmt vampire die NT-Passwörter nicht und es werden teilweise keine Sambaklassen hinzugefügt. zu 4) der add machine script hat einen Bug. Es werden keine Sambaklassen hinzugefügt. Man kann jedoch die Maschinen mit der Option für neue User versehen und die Maschinen danach in Ldap an die gewünschte Stelle verschieben (aus - ein über ldif). zu 5) die Zuweisungen der User zu den Gruppen geht besser, wenn die Gruppe vorab schon vorhanden sind. zu 6) man kann die Funktion sooft wie gewünscht laufen lassen und allenfalls fehlerhafte Teile in Ldap vorab wieder löschen. Vor jedem Durchgang (für Gruppen) ist es vorteilhaft net groupmap cleanup durchzuführen. Die Uebernahme von Gruppen oder Accounts mit Umlauten zB. "Domänen-Benutzer" geht nicht (wegen der Umlaute). So das ist alles was ich dazu herausgefunden habe. Zu allenfalls globalen Aenderungen in der Ldap-Datenbank hätte ich noch einige Fragen: Gibt es keine Option so analog SQL (update xxx = zzz where..) um global einige Felder durchzumutieren? Oder welches ist der einfachste Weg so globale Aenderungen durchzuführen? Das Muster des obengenannten Perl-Scripts habe ich im Buch der Bücher so beim Durchsehen nicht entdeckt. Grüsse Bernhard
Hallo Bernhard, Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
Wie du siehst, habe ich die Fortsetzung gefunden :-) [...]
es ist noch so, das sich root gar nicht anmeldet. könnte das problem ev auch an den indexen (wird falsches von noch weiter oben gefunden) liegen?
Das sind eindeutig Suchaufträge von PAM, da solltest du dich nicht drum kümmern. Ich habe festgestellt, daß PAM ziemlich Resourcenfressend sein kann, denn für jedes Öffnen einer Datei, für nahezu jeden Tastendruck werden Rechte überprüft. Anfangs hatte ich mal einen ziemlich hohen Loglevel, innerhalb von wenigen Stunden war die Logdatei voll. Zum Thema uniqueMember, das kann nicht indiziert werden, da das die Syntax nicht zulässt, das ganze Attribut ist eine Krankheit. Wenn du es nicht verwendest und auch zukünftig nicht verwenden möchtest, kannst du die Suche in /etc/ldap.conf unterdrücken.
ich habe versucht memberUid und uniqueMember zu indexieren. dies gelang aber nicht.
MemberUid sollte problemlos indiziert werden können, auch als substring match, da muß der Fehler an anderer Stelle liegen.
Ich weiß ja nicht, was Jens Kühnel mit 'subinitial' meint, aber diesen Index gibt es nicht, also weg damit, denn das ist die Fehlerquelle. Es gibt: approx - für phonetische Ähnlichkeit eq - für exact match pres - für Präsenz, also ist vorhanden sub - für substring match, also Wildcard suche.
(ich gebe zu, dass ich mich über die indexe nicht so informiert habe, aber es gibt ja noch Dieter)
Na, na, jetzt muß ich den Oberlehrer--Zeigefinger heben :-) Bilden von Idices ist zwar wichtig, da hierdurch die Performance erheblich gesteigert werden kann, andererseits wird dadurch auch mehr Plattenplatz benötigt. Als Index sind die Attribute wichtig, die in einem Suchfilter enthalten sind, also üblicherweise cn, uid, sn, mail, welche Filter Samba verwendet kann ich nicht sagen Wenn du mal den Server etliche Tage durchlaufen läßt kannst du mit dem BerkeleyDB Tool 'db_stat' prüfen, wie oft auf die Indexdateien zu gegriffen wird und wie häufig Daten von der Platte gelesen werden müssen, danach kannst du dann deine Indices anpassen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter ich habe mich nun länger nicht mehr gemeldet. hatte noch andere probleme bzw. immer noch (Openwebmail). Na ja man kann sich nicht alles aussuchen. meine installation mit suse 9.0 ldap und samba läuft jetzt wirklich sehr gut und auch die indexe habe ich nun glaube ich io. ich habe gestern einmal vom bestehenden nt-pdc (dieser soll abgelöst werden) die daten (net .. vampire) abgesaugt und in ldap übernommen. hier kam dann die ernüchterung. die bisher gut laufenden scripte (smbtools..pl) haben nur teilweise funktioniert und auch noch weitere fragen offen lassen. es scheint, dass dieses net .. vampire auch nur teilweise damit klarkommt. es gab einige grobe fehler (zb. falsche oder keine objektklasse bei den usern, leere passwörter, usw. ich habe dann probeweise die scripte im smb.conf mit denen in der suse-musterconfig smbldap... getauscht und auch hier wieder neu und andere fehler festgestellt. einzig und allein wurde die gruppen (weiss der herrgott warum) immer gut übernommen. die domäne hat viele maschienen und viele user. dies hat die sache natürlich noch zusätzlich erschwert. ich habe keine möglichkeit gefunden den prozess nur auf teilbereiche zu begrenzen oder den ablauf genau zu debuggen. besonders die sache mit der uebertragung des passwortes ist mir völlig suspect. ich werde jetzt hier einen kleinen nt-server zum test aufsetzen, so dass wenigstens die datenmenge (um die probleme zu untersuchen) klein ist. es könnte auch sein, dass ich mit der datenübernahme vom nt in samba mit ldap einfach zuviel miteinander wollte. ein anderer weg wäre eine einfache variante der samba benutzerdatenbank zum übertrag und dann die migration nach ldap. ob das überhaupt so geht weiss ich aktuell noch nicht. die sache mit den pl.-scripten ist auch noch nicht ganz io. ich habe festgestellt, dass bei suse und samba bei weitem nicht die aktuellsten scripte dabei sind. ich hatte schon einmal die neuesten runtergeladen, musste aber festellen, dass dazu notwendige tools fehlen, bzw. auf der suse nicht vorhanden sind (scripte sind für rh). ich habe dann darauf verzichtet hier weiter zu machen. es wäre sehr freundlich von dir, wenn du zu dem einen oder anderen punkt mir noch etwas aus deinem (reichen) erfahrungsschatz mitteilen könntest. ich bin jetzt kommende woche in den ferien und daher könntest du dir auch damit zeit lassen. ein anderes problem drückt mich noch. ich frage dich einfach mal. wir haben unter suse 9.1 vor einiger zeit ein openwebmail eingerichtet. dies ging so ca. 10 tage gut. es sind perlscripte die dann mit suidperl ablaufen. der kunde hat sicher an seiner konfiguration etwas manipuliert (kann aber nicht sagen was und wo) und openwebmail geht nicht mehr. nach dem login, bevor das nächste modul geladen wird kommt: Out of memory! [Wed Sep 29 17:19:38 2004] [error] [client 192.168.190.22] Premature end of script headers: openwebmail.pl, referer: http://mail.netvision.ch/cgi-bin/openwebmail/openwebmail.pl es ist so, dass alle berechtigungen der scripte und des suidperl richtig sind. in der mailingliste von owm hat mir leider bisher noch niemand geantwortet. in der suse liste ich auch nichts schlaues dabei herausgekommen. ein ersatz von owm, perl und apache hat nichts gebracht? wie gesagt ich dachte ich frag mal. auf jeden fall und wie auch immer herzlichen dank und beste grüsse aus der schweiz. bernhard Am Freitag, 17. September 2004 17.36 schrieb Bernhard Buehler:
Hallo Bernhard, Bernhard Buehler <bbuehler@bbm-bbmicro.ch> writes:
[...] Du kannst ja mal versuchen ldapsearch zu verwenden und die ldif Ausgabe in eine Datei pipen. Du wirst vermutlich sowieso die NT Daten modifizieren müssen, da vermutlich nicht alle Objektklassen und Attribute 1 zu 1 übernommen werden können. Neben dem Tool ldapsearch kannst du natürlich auch ein Perlscript bauen. In dem besten aller Bücher findest du ein Basisscript.
[...] Ich muß gestehen, ich kenne Openwebmail nicht, kann dazu also auch nichts sagen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Hallo Dieter wie schnell die Zeit vergeht. Ich habe nach meinen Ferien nun meine Arbeit wieder aufgenommen und bin eigentlich mit den Resultaten recht zufrieden. Du hast mir bisher sehr viel geholfen und ich möchte dir gerne noch einige Ergebnisse zum Userdatentransfer NT-Domäne nach Ldap/Samba übermitteln. Möglicherweise hast du ja daran Interesse oder kannst damit ev. jemand Anderem weiterhelfen. s. Unten Am Freitag, 1. Oktober 2004 11.53 schrieb Dieter Kluenter:
Der Transfer von Userdaten aus einem NT PDC (german) geht nun mit der Funktion net rpc vampire..wie folgt: 1) mit den Lpdaptools von 0.8.4 von IDEALX configure.pl und sbmbldap-populate.pl vorbereiten 2) user root mit SambaKlassen eröffnen, Administrator an root zuweisen (smb.conf) 3) alle NT-User vorab für Linux eröffnen (PosixAccount) 4) in smb.conf add machine script analog add user script anpassen 5) gruppen wenn möglich vorab auch manuell eröffnen 6) vampire laufen lassen (auch mehrfach möglich, wenn Korrekturen notwendig) zu 1) die älteren Tools haben recht viele Fehler zu 2) sonst geht die Passwortänderung nicht zu 3) leider ist der vampire nicht sehr transparent. Ist kein Linux-User vorhanden übernimmt vampire die NT-Passwörter nicht und es werden teilweise keine Sambaklassen hinzugefügt. zu 4) der add machine script hat einen Bug. Es werden keine Sambaklassen hinzugefügt. Man kann jedoch die Maschinen mit der Option für neue User versehen und die Maschinen danach in Ldap an die gewünschte Stelle verschieben (aus - ein über ldif). zu 5) die Zuweisungen der User zu den Gruppen geht besser, wenn die Gruppe vorab schon vorhanden sind. zu 6) man kann die Funktion sooft wie gewünscht laufen lassen und allenfalls fehlerhafte Teile in Ldap vorab wieder löschen. Vor jedem Durchgang (für Gruppen) ist es vorteilhaft net groupmap cleanup durchzuführen. Die Uebernahme von Gruppen oder Accounts mit Umlauten zB. "Domänen-Benutzer" geht nicht (wegen der Umlaute). So das ist alles was ich dazu herausgefunden habe. Zu allenfalls globalen Aenderungen in der Ldap-Datenbank hätte ich noch einige Fragen: Gibt es keine Option so analog SQL (update xxx = zzz where..) um global einige Felder durchzumutieren? Oder welches ist der einfachste Weg so globale Aenderungen durchzuführen? Das Muster des obengenannten Perl-Scripts habe ich im Buch der Bücher so beim Durchsehen nicht entdeckt. Grüsse Bernhard
participants (3)
-
Bernhard Buehler -
Dieter Kluenter -
Jürgen Knelangen