A jelenseg a kovetkezo volt.
valid users = +majmok
nem mukodott.
valid users = +ldapusers
viszont igen.
Rajottem, hogy az ldapusers csoport azert mukodott, mert az a primary csoport volt, majmok pedig secondary.
Addig addig debugoltam mig szemet szurt, hogy a primary csoportot az a gid attributum alapjan keresi fel, a tobbi csoportban a tagsagot viszon a sambaSIDList attributummal probalja kideriteni.
A helyzet az, hogy az smbldap-tool altal legyartott csoportok alatt nem voltak felsorolva a sambasidjei a tagoknak (csak a "memberUid"-ok.).
Innentol nem is mukodott a dolog.
Osszehabartam egy scriptet gyorsan ami a csoportokba behanyja a sambaSIDListet, s innentol mukodik.
A google annyit segitett, hogy talaltam egy embert aki szinten beleakadt a problemaba. De nem tudta megoldani. Eljen.
Szeretem, hogy alaposan volt tesztelve a cucc.
Ezen kivul az LDAP replikacio is slendrian modon van dokumentalva.
Elotte:
dn: cn=sysadmin,ou=Groups,dc=aa,dc=hu
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: sysadmin
gidNumber: 2005
memberUid: user1
memberUid: user2
memberUid: user3
sambaSID: S-1-5-21-3271655276-53119384-4291917876-5023
sambaGroupType: 2
Utana:
dn: cn=sysadmin,ou=Groups,dc=aa,dc=hu
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: sysadmin
gidNumber: 2005
memberUid: user1
memberUid: user2
memberUid: user3
sambaSID: S-1-5-21-3271655276-53119384-4291917876-5023
sambaGroupType: 2
sambaSIDList: S-1-5-21-3271655276-53119384-4291917876-5060
sambaSIDList: S-1-5-21-3271655276-53119384-4291917876-5064
sambaSIDList: S-1-5-21-3271655276-53119384-4291917876-5076
- uid_1062 blogja
- A hozzászóláshoz be kell jelentkezni
- 1932 megtekintés
Hozzászólások
Nem érdemes az smbldap-tools csomaggal szopni. A pdbedit magától képes kezelni a LDAP-ot, ha van joga rá. Nekem a PAM-os és a PAM-LDAP-os userekkel is pozitiv tapasztalatom van.
- A hozzászóláshoz be kell jelentkezni
Nem latom ezzel hogyan kezelnek csoport tagsagokat.
Hogyan?
- A hozzászóláshoz be kell jelentkezni
'net' parancs?
- A hozzászóláshoz be kell jelentkezni
Az nem a samban keresztul probalja csinalni a dolgait?
Ahol is a samba meg a neki megadott management scripteket hivogatja?
Ami viszont kell jojjon valahonnet. Vagy en irom meg vagy hasznalom az smbldap-toolst vagy valami hasonlot.
A doksiban annyit talaltam, hogy "Samba provides no turnkey solution for LDAP integration"
A celja az egesznek az volna, hogy tobbe kevesbe egyseges feluleten at tudjam matatni a csak az LDAPban letezo (Posix/Samba) csoportokat es felhasznalokat. Egyertelmu uid es gid mappinggel, mert tobb mint egy Samba szerverem van. S ezt is az LDAPbol akarom szedni.
Nem akarok cumizni a(z esetleg dinamikus) mappelesekkel.
Az smbldap-tools ezt adta nekem. Ezzel az egy szopassal.
Nem kell latnom cserebe a pdbedit smbpasswd net harmas egyiket sem rendszeresen.
- A hozzászóláshoz be kell jelentkezni
Állj, a pdbedit és a smbpasswd ekvivalensek, csak a pdbedit többet tud.
A scripteket nem neked kell megírni. Azért vannak a scriptelési lehetőség, hogy ha valami egyebet is akarsz csinálni az LDAP mutyizáson túl, például két személyes tár van, mert mondjuk egy iroda rendszere, és kap egy olyan tárolót, ahol az őáltala kezelt ügyfeleket tartsák nyilván, akkor a scripttel létrehozathatod (nyilván a home-ja létrejön sokkal előbb). Vagy kirendelhetsz neki egy nyomtatót, vagy mittomén. A script az egy lehetőség. Gondolom az smbldap-tools is azért van, mert képes valami többre is, pl a számítógép usereket elkezeli, vagy ilyes (nem ismerem konkrétan, csak tudom imi ez).
Egy szó mint száz, a smbpasswd és a net képes önmagától is működni, a scriptelés az csak egy lehetőség valami egyébre is. Mondjuk a csoportkezelés az nem emléxem milyen a net paranccsal, mert csak egyszer kellett belőni a csoportokat, az meg marha rég volt. De az tuti, hogy nekem eddig nem kellett az smbldap-tools egyik scriptje sem.
- A hozzászóláshoz be kell jelentkezni
konkret kerdes:
Nem talaltam hogy lehet az smbldap tools nelkul rendesen kiepiteni az LDAP strukturat (sajat scriptek nelkul.) Hogyan lehet?
Masik:
Hogyan hozok letre posix+samba csoportokat az LDAPban a samba altal adott eszkozokkel?
Ezt nem sikerult megtalalnom --> Ezert smbldap tools. --> szopas :-D
De semmi baj mar mukodik.
- A hozzászóláshoz be kell jelentkezni
http://samba.org/samba/docs/man/Samba-Guide/happy.html#sbeidealx
itt az indoklas.
Nem tud a pdbedit posixaccount object class-szal dolgozni.
Csak SambaSAMAccounttal vagymivel.
- A hozzászóláshoz be kell jelentkezni
Nyugi, azzal így nagyjából semmi. De ahhoz egy script egy pillanat alatt megvan. Bash-be valami 5 sor.
- A hozzászóláshoz be kell jelentkezni
ok.
Ezt gondold at meg egyszer.
pl a kovetkezo elofeltetelekkel:
- Nem ertesz az LDAPhoz
- Nem akarod csinalni.
- Van mar keszen eszkoz ra, amit kb 3000 howto ajanl a feladatra (s amirol az elejen meg nem tudod, hogy hianyosan van implementalva.)
Igy is nekiallsz es latatlanban elkezded megirni az integracios scripteket?
- A hozzászóláshoz be kell jelentkezni
Látatlanba persze nem. De amikor elkezdek utánaolvasni a dolgoknak (hiába, én ilyen vagyok... mielőtt belevágok valamibe, a googleval arra is keresek, ki mivel szopott az adott dologgal kapcsolatban, hogy én ne szopjam végig u.a.), és látom hogy az x-edik ember írja le válasz néálkül ugyanazt a problémát, akkor elkezdek gyanakodni, hogy nem lehetséges-e hogy tkp szar az a mit a howto-k ajánlanak. Amúgy ha nagyon kell valami egy kezdőnek, a SuSE Linux-on el lehet sajátítani egy csomó dolgot.
És képzeld el én úgy kezdtem, hogy az LDAP-ról annyit tudtam, hogy a M$ AD is ezzel megy, meg valami protokoll, és úgy kezdtem el ldif fájlokat írogatni nano-val. Megnézegettem pár kimenetet, a harmadik ldif fájlt már meg is ette az az előkészített LDAP szerver amit lehetőségem volt nyúzni. Az, hogy a scripteimet nem akkor kezdtem írni, annak egyes-egyedül az az oka, hogy akkoriban a bash programozást nem ismertem annyira.
Ötödikre sikerült egy működő LDAP szervert összedobni.
- A hozzászóláshoz be kell jelentkezni
rajtam kivul ketten akadtak bele a hibaba (akikre ra is talaltam.).
En is utananeztem mi mukodik masoknak. Az smbldap-tools is mukodik masoknak.
Mert nem hasznaltak a hianyosan implementalt reszet.
En is epitettem jatszos LDAPot smbldap-tools-szal es anelkul is.
S ezen tapasztalatok alapjan dontottem ugy, hogy nem akarok integracios scripteket irni, mert osszetett, es nem lesz idom letesztelni (Arrol nem is beszelve, hogy a samba/LDAP illesztesrol nem tudok annyit, hogy ertelmesen le tudjam tesztelni).
Van mas dolgom is :)
A szabadidomet meg nem szivesen aldozom fel. Szukos eroforras.
- A hozzászóláshoz be kell jelentkezni
Mondjuk nekem annyiból jó a custom integrációs script. hogy egyúttal egy rakat egyéb rendszeren is tudom kezelni a usereket/gépeket.
Nem vitatom, hogy az smbldap-tools ne lenne jó ha valami nagyon egyszerűre van szükséged. De amikor a hiányosan implementált részek kellenek erősen, akkor gáz van.
Ezért mondom azt, hogy inkább én írom meg a scripteket, és tudom, hogy mit b@kok el benne, minthogy egy relatíve fekete dobozzal küszködjem.
Arról nem is beszélve, hogy sokszor kell egyedi igényeknek megfelelni...
- A hozzászóláshoz be kell jelentkezni
Szia!
Megosztanád-e a nagyközönséggel azt az "összehabart" scriptet?
előre is köszi
béla
- A hozzászóláshoz be kell jelentkezni