Re: Debian als Client an Samba-Domäne
Hallo Rico, hallo Martin,
Entschuldigung, dass ich jetzt erst reagiere. Hatte die letzte Tage
keine Möglichkeit zu antworten. Ich nehme mal diese Mail, um gleich auf
alle Argumente reagieren zu können.
Vorab wegen die libnss-ldapd und libpam-ldapd: Ich hatte hier vor
geraumer Zeit (1,5 Jahre?) wegen Problemen mit dem Start des LDAPs
nachgefragt und da gab es leider nur den Verweis auf einen (großen)
Thread ohne Ergebnis. Durch einen anderen Mitstreiter unserer Gruppe
wurde aber ein Lösung angegeben, die ich hier auch gepostet hatte (es
müssen dazu nur bestimmte Accounts und Gruppen angelegt werden) und seit
dem ist das Problem bzw. sind die Fehlermeldungen weg.
Die Fehlermeldungen kamen durch irgendwelche udev-Regeln, die nicht
erfüllt waren. Wenn man da mit irgendwelchen Dämonen das Problem umgeht,
dann werden hier aus meiner Sicht eher mehr Rechte einem eigentlich
nicht benötigten Dämon gegeben. Zudem, wenn man hier einen solchen
Stellvertreter zwischenschaltet, dann kann ich mir vorstellen, dass das
ACL-System vom LDAP ausgehebelt wird, um nicht gar zu sagen, dass das
'ad absurdum' geführt wird. Aber das ist nur meine Meinung als Laie.
jedenfalls ist die Argumentation für libnss-ldapd und libpam-ldapd alles
andere als überzeugend. Aber das ist hier m.E. nicht relevant, weil das
doch nur für den Server gebraucht wird - oder denke ich da falsch?
Am 03.08.2011 09:08, schrieb Rico Koerner:
Am 02.08.2011 20:48, schrieb Martin Reising:
On Tue, Aug 02, 2011 at 03:28:16PM +0200, Rico Koerner wrote:
Am 02.08.2011 12:22, schrieb Martin Reising:
Wie kann man denn PAM und NSS ohne Rootrechte verwenden, im
gefragten Kontext?
NSS geht grundsätzlich ohne Rootrechte, /etc/passwd ist von jedem
lesbar. PAM benötigt Rootrechte, wenn es auf /etc/shadow zugreifen
muß. Im Falle von LDAP gibt es 2 Möglichkeiten, einen bind mit
einer bestimmten DN, um das Passwort zu lesen oder ein AUTH gegen
LDAP. Beides kommt ohne Rootrechte im System aus.
Ich hatte schon vermutet das du mit System den Samba-Server meinst
und nicht die Linux Workstation die sich die
Benutzer/Gruppen-Informationen eben dort erfragt. Auf der Workstation
läuft der [gkx]dm zwangsläufig als root.
Das ist unerheblich, ob auf dem Client irgendein Programm als root
läuft, das wird es wahrscheinlich immer geben. Und das hat ja nun noch
viel weniger mit Samba oder LDAP zu tun. Danach wurde ja noch gar nicht
gefragt. Könnte es sein, daß hier nur die Anmeldung bzgl.
File/Druckservice gefragt war? Und ggf. die Aufnahme des Clients in die
Domäne?
Ich habe doch etwas gefunden (etwas blamabel für mich, da ich jahrelang
einen Arktur eingesetzt hatte): die Anleitung für die SuSE-Clients bei
Arktur sollte übertragen werden können:
http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:SUSELinux
die Anleitung für Debian/Ubuntu ist nicht passend, weil die Probleme,
die dieser Server an dieser Stelle hat, bei uns einfach nicht relevant
sind. Die UIDs der User (im LDAP) fangen bei uns erst bei 10000 an, die
GIDs ab 1000.
http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:DebianLinux
http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:UbuntuLinux
Ich meinte damit, daß ich z.B. Benutzer in unterschiedlichen OUs
ablege und PAM dann sagen möchte, daß nur die posixAccounts aus
einer bestimmten OU für einen bestimmten Service zu verwenden
sind.
wir verwalten im LDAP nur die User, Gruppen, Rechner und die festen IPs
(also DHCP). Die User, Gruppen und Rechner werden bei uns so angelegt,
wie es die smbldap-Tools machen (würden), allerdings wurden ein paar
Kleinigkeiten von smbldap-populate korrigiert und der root-Account in
'Administrator' umbenannt. Aber ansonsten alles kompatibel zu den
smbldap-Tools.
Dafür setzt man doch die Searchbase, die Filter und die Attribute in
/etc/ldap.conf
Das ist ja nun mal eine Konfiguration, die als Default für alle gilt,
aber nicht für spezielle Programme.
Dann frag ich mich, warum du lib[pam|nss]-ldap überhaupt erst in
Runde geworfen hast, wenn das in dem Kontext gar nicht relevant
ist?
in der oben genannten Anleitung für die Debian-Clients wird ja deutlich,
dass PAM und NSS angepasst werden muss.
Wie sollen denn ohne libpam-ldap die Informationen vom Samba-Server
erfragt werden?
mir geht es jetzt überhaupt erstmal um eine brauchbare Konfiguration
eines Debian-Clients an den Server. Wenn möglich genauso einfach zu
händeln (also möglichst menügeführt) wie hier in der Anleitung zu den
SuSE-Clients. Eine Anleitung komplett ohne Menüs, damit die
Konfiguration in ein Script/Paket gesteckt werden kann, wird natürlich
auch noch gebraucht - später. ;)
Viele Grüße
Hans-Dietrich
Reply to: