Mapping auf Memberservern: Wie funktioniert das?
Von: Hauke Laging (4q2007@hauke-laging.de) [Profil]
Datum: 19.02.2008 17:12
Message-ID: <fpev4m$gb$02$1@news.t-online.com>
Newsgroup: de.comp.os.unix.networking.samba
Datum: 19.02.2008 17:12
Message-ID: <fpev4m$gb$02$1@news.t-online.com>
Newsgroup: de.comp.os.unix.networking.samba
Moin, ich versuche immer noch zu verstehen, wie das bei Samba mit dem Mapping der Windows-User auf die Linux-User läuft. Auf einem Standalone-Rechner oder einem PDC ist mir das (wohl) klar: In einer Datei, bei mir der passdb.tdb, stehen die Zuordnungen. Der Client schiebt das SID-Paket des jeweiligen Users rüber, samba macht über diese Datei aus den SIDs Linux UIDs und -GIDs (bzw., die stehen wohl in /var/lib/samba/group_mapping.tdb) und dann kann anhand der Dateisystemrechte entschieden werden, ob einer dieser User oder eine der Gruppen die Berechtigung für die angeforderte Aktion hat. Das erste, was ich nicht verstehe (was aber nicht so wichtig ist): Ich habe einerseits gelesen, dass der Client das Bündel SIDs an den Server gibt, andererseits, dass der Memberserver die Zugansdaten zur Prüfung an den PDC durchreicht. Was ist es denn nun? Ist es so, dass beim Domainlogin der PDC diese Liste erzeugt und signiert (so dass die Memberserver dem Paket vertrauen können)? Bekommt der Memberserver keine SIDs, sondern die Zugangsdaten, wenn noch kein Domainlogin stattgefunden hat (z.B. beim Zugriff mit smbclient)? Zum eigentlichen Problem: Ich habe gelesen, dass man den winbindd brauche, um die Zuordnung der SIDs zu den Linux-IDs auf einem Memberserver hinzubekommen. Er kann dafür bei Bedarf neue User und Gruppen anlegen. Das soll man aber auch selber können. Aber was dann alles synchronisiert werden muss, darüber schweigt sich mein tolles Buch leider aus. Dass die Linux-User und -Gruppen vorhanden sein müssen, ist klar. Aber wie macht der Memberserver das Mapping? Die Formulierung in dem Buch ist unklar: Braucht man den winbindd in jedem Fall und kann sich nur aussuchen, ob er User und Gruppen dynamisch anlegen soll, oder hat der winbindd nur dann einen Sinn, wenn er die dynamisch anlegt? Ich habe es jetzt mal so gemacht, dass ich die User auch auf dem Memberserver mit smbpasswd angelegt (bzw. mal die passdb.tdb vom PDC kopiert) habe. Ist das der Weg, wenn man die "winbindd-User" vermeiden will? Dann hat man ja quasi dieselbe technische Basis wie auf einem Standalone-Rechner oder PDC. Kann man sich dann eigentlich auch "lokal" anmelden, oder kennt der Memberserver dann automatisch nur Domainuser? Ich meine mich zu erinnern, dass mir in den Sicherheitseinstellungen der Loginname des Domainusers mal als lokal auf dem Memberserver angezeigt wurde (so was wie FILESERVER\user statt DOMAIN\user). Dankbar für jede (Teil-)Erleuchtung :-) Hauke[ Auf dieses Posting antworten ]