Ldap und Samba Kennwörter nicht immer syncron (warum?)
Hallo, folgendes Problem: Ein Kunde nutzt ldap zur zentralen Benutzerverwaltung. Das klappt soweit für die Anmeldungen und auch mit einem Samba-Server der für einige XP-Systeme shares zur Verfügung stellt. Das Problem: Bei 2 Usern klappt die Anmeldung mit den Ldap-Password, bei zwei weiteren nicht. Bei diesen Usern klappt es wenn ich per lam per Oberfläche ein samba-Kennwort setzte. Das klingt jetzt alles wirr und ist es wohl auch. Wie kann ich raus bekommen was da genau passiert? Gruß und dank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On 08.12.2011 16:18, Ralf Prengel wrote:
Hallo,
folgendes Problem:
Ein Kunde nutzt ldap zur zentralen Benutzerverwaltung. Das klappt soweit für die Anmeldungen und auch mit einem Samba-Server der für einige XP-Systeme shares zur Verfügung stellt. Das Problem: Bei 2 Usern klappt die Anmeldung mit den Ldap-Password, bei zwei weiteren nicht. Bei diesen Usern klappt es wenn ich per lam per Oberfläche ein samba-Kennwort setzte. Das klingt jetzt alles wirr und ist es wohl auch. Wie kann ich raus bekommen was da genau passiert?
Gruß und dank
ok ein glücklicher Treffer bei googel ergab: user ändert das Kennwort mit passwd Resultat samba bekommt nichts mit user ändert auf dem zentralen Server mit smbpasswd das Kennwort Resultat ldap bekommt die Änderung mit Nicht schön aber erst mal eine Lösung: Wie macht man das richtig? Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 08.12.2011 16:49, schrieb Ralf Prengel:
On 08.12.2011 16:18, Ralf Prengel wrote:
Hallo,
folgendes Problem:
Ein Kunde nutzt ldap zur zentralen Benutzerverwaltung. Das klappt soweit für die Anmeldungen und auch mit einem Samba-Server der für einige XP-Systeme shares zur Verfügung stellt. Das Problem: Bei 2 Usern klappt die Anmeldung mit den Ldap-Password, bei zwei weiteren nicht. Bei diesen Usern klappt es wenn ich per lam per Oberfläche ein samba-Kennwort setzte. Das klingt jetzt alles wirr und ist es wohl auch. Wie kann ich raus bekommen was da genau passiert?
Gruß und dank
ok
ein glücklicher Treffer bei googel ergab:
user ändert das Kennwort mit passwd Resultat samba bekommt nichts mit user ändert auf dem zentralen Server mit smbpasswd das Kennwort Resultat ldap bekommt die Änderung mit
Nicht schön aber erst mal eine Lösung: Wie macht man das richtig?
Natürlich ist das so. Daher sollte man ein "System" benutzen, dass mit einem Schlag beide Kennwörter ändert. passwd ist für UNIX Kennwort zuständig (mehr oder weniger das, was in /etc/passwd und /etc/shadow steht) smbpasswd erzeugt Strings, die NT Systeme (Windows) versteht. In einem LDAP Verzeichnis werden all die Informationen gespeichert, etwa: userPassword:: e1NTSEF9ZkF0Sm1BNk1NSXpYcFJocWwrYWtyeHdYZFN4Q1ZFTmk= sambaNTPassword: 5F9111F5640949518F8F7AABD45F4284 sambaLMPassword: A9F65B21BCF43E81AAD3B435B51404EE usw... Eine gewöhnliche Linux Distribution (openSUSE, Debian, Ubuntu, ...) bringt von Haus aus keine solche Verwaltung mit. Abhilfe kann man sich etwa mit dem Projekt smbldap-tools verschaffen. Da gibt es dann entsprechende Tools, die auf einmal UNIX und smb Kennwörter / oder sonstige Benutzerinformationen erzeugen/bearbeiten/löschen können. Die Thematik ist relativ komplex, aber auch gut dokumentiert. http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ -- Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, Dec 08, 2011 at 04:59:25PM +0100, Matthias Praunegger wrote:
Am 08.12.2011 16:49, schrieb Ralf Prengel:
On 08.12.2011 16:18, Ralf Prengel wrote: [ 8< ] user ändert das Kennwort mit passwd Resultat samba bekommt nichts mit user ändert auf dem zentralen Server mit smbpasswd das Kennwort Resultat ldap bekommt die Änderung mit
Nicht schön aber erst mal eine Lösung: Wie macht man das richtig?
Natürlich ist das so. Daher sollte man ein "System" benutzen, dass mit einem Schlag beide Kennwörter ändert. passwd ist für UNIX Kennwort zuständig (mehr oder weniger das, was in /etc/passwd und /etc/shadow steht) smbpasswd erzeugt Strings, die NT Systeme (Windows) versteht. In einem LDAP Verzeichnis werden all die Informationen gespeichert, etwa: userPassword:: e1NTSEF9ZkF0Sm1BNk1NSXpYcFJocWwrYWtyeHdYZFN4Q1ZFTmk= sambaNTPassword: 5F9111F5640949518F8F7AABD45F4284 sambaLMPassword: A9F65B21BCF43E81AAD3B435B51404EE
usw...
Eine gewöhnliche Linux Distribution (openSUSE, Debian, Ubuntu, ...) bringt von Haus aus keine solche Verwaltung mit.
Glücklicherweise falsch! Das ist einer der Vorteile, die YaST und seine Nutzerverwaltung bietet. Konkret muss man dafür dem OpenLDAP-Ralf dankbar sein. Der hat das irgendwann angestoßen und umgesetzt. Wenn man das mit YaST einrichtet, dann wird das alles hübsch konfiguriert. Liegt /etc auf einem btrfs und snapper schnappt, dann kann man sich die Änderungen im Nachhinein per YaST -> Sonstiges (keine Ahnung, warum das dort gelandet ist) -> Snapper schön ansehen. Oder per die Hände ein wenig in den Maschinenraum stecken und per diff die Schnappschüsse unterhalb von /.snapshots/ betrachten. Ich bin da jedes Mal wieder ganz begeistert von.
Abhilfe kann man sich etwa mit dem Projekt smbldap-tools verschaffen. Da gibt es dann entsprechende Tools, die auf einmal UNIX und smb Kennwörter / oder sonstige Benutzerinformationen erzeugen/bearbeiten/löschen können.
Die Thematik ist relativ komplex, aber auch gut dokumentiert. http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/
Naja, komplex ist es nicht wirklich. Sind eben zwei unterschiedliche Mechanismen. Was ich gerade nicht mehr zusammenbekomme ist, ob das dann auch alles von der Kommandozeile aus funktioniert. Ja, tut es, je mehr ich darüber nachdenke. Auf jeden Fall geht es von passwd in Richtung LDAP (siehe man 1 passwd). Die Änderung sollte dann in userPassword, sambaNTPassword und sambaLMPassword vorgenommen werden. Also bitte testen und berichten. Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Auf jeden Fall geht es von passwd in Richtung LDAP (siehe man 1 passwd). Die Änderung sollte dann in userPassword, sambaNTPassword und sambaLMPassword vorgenommen werden.
Mit smbpasswd das Unix-PW ändern...das sollte ja samba können (ldap passwd sync). Umgekehrt, also von Unix mit passwd das Samba-Passwort ändern, ist etwas mehr Aufwand. Geht aber mit einem Overlay "smbk5pwd". Das ist im Sourcecode von OpenLdap mit dabei. Mit beiden sollte dann immer alles synchron sein. Gruß Daniel -- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 08 Dec 2011 16:49:24 +0100
schrieb Ralf Prengel
On 08.12.2011 16:18, Ralf Prengel wrote:
Hallo,
folgendes Problem:
Ein Kunde nutzt ldap zur zentralen Benutzerverwaltung. Das klappt soweit für die Anmeldungen und auch mit einem Samba-Server der für einige XP-Systeme shares zur Verfügung stellt. Das Problem: Bei 2 Usern klappt die Anmeldung mit den Ldap-Password, bei zwei weiteren nicht. Bei diesen Usern klappt es wenn ich per lam per Oberfläche ein samba-Kennwort setzte. Das klingt jetzt alles wirr und ist es wohl auch. Wie kann ich raus bekommen was da genau passiert?
Gruß und dank
ok
ein glücklicher Treffer bei googel ergab:
user ändert das Kennwort mit passwd Resultat samba bekommt nichts mit user ändert auf dem zentralen Server mit smbpasswd das Kennwort Resultat ldap bekommt die Änderung mit
Nicht schön aber erst mal eine Lösung: Wie macht man das richtig?
Im OpenLDAP Quellcode, gibt es unter contrib/slapd-modules/smbk5pwd/ eine Datei smbk5pwd.c die du kompielen kannst. Im README steht, wie man es einsetzt. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Sat, Dec 10, 2011 at 08:08:09PM +0100, Dieter Klünter wrote:
Am Thu, 08 Dec 2011 16:49:24 +0100 schrieb Ralf Prengel
: [ 8< ] user ändert das Kennwort mit passwd Resultat samba bekommt nichts mit user ändert auf dem zentralen Server mit smbpasswd das Kennwort Resultat ldap bekommt die Änderung mit
Nicht schön aber erst mal eine Lösung: Wie macht man das richtig?
Im OpenLDAP Quellcode, gibt es unter contrib/slapd-modules/smbk5pwd/ eine Datei smbk5pwd.c die du kompielen kannst. Im README steht, wie man es einsetzt.
Das ist meine ich nicht erforderlich. Siehe http://lists.opensuse.org/opensuse-de/2011-12/msg00200.html Anfnag nächster Woche versichere ich mich nochmals, dass ich mir das nicht nur einbilde. Aber vielleicht hat es zuvor bereits jemand testen können. Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
participants (5)
-
Daniel Spannbauer
-
Dieter Klünter
-
Lars Müller
-
Matthias Praunegger
-
Ralf Prengel