cthluhu
Goto Top

Sambaserver als Domänenmitglied: best practice für UID-Mapping?

Hallo zusammen.

Ich hab hier mehrere Linux-Maschinen (OpenSuse in verschiedenen Versionen) auf welchen jeweils ein samba-Server läuft. Alle sind Mitglied einer AD-Domäne (W2K3 als Domänencontroller).
Naturgemäß werden beim erstmaligen Anmelden auf den Linux-Maschinen die SIDs der Domäne auf UIDs auf den Maschinen gemapt. Dabei bekommt der gleiche User abhängig vom Zeitpunkt der ersten Anmeldung (bzw. der Reihenfolge in der die Erstanmeldungen verschiedener User erfolgen) auf jeder Maschine eine andere UID. Wird eine Freigabe mit eines samba-Servers mit mount.cifs gemountet passen die UIDs nicht und somit die Zugriffsrechte auch nicht. Bein mounten mit "net use" unter Windows kann ich die samba-Freigaben ohne Probleme mit den Zugriffsrechten verwenden.

Meine Fragen: Wie löst ihr das Problem mit den unterschiedlichen UIDs auf verschiedenen samba-Servern? Gibt es dafür eine Art "best practice"? Gehe ich das Problem falsch an und es ist es gar nicht notwendig die UIDs zu synchronisieren?

mfg

Ctlhuhu

Content-ID: 208636

Url: https://administrator.de/forum/sambaserver-als-domaenenmitglied-best-practice-fuer-uid-mapping-208636.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

Rudbert
Rudbert 26.06.2013 um 10:22:49 Uhr
Goto Top
Cthluhu
Cthluhu 26.06.2013 um 12:19:07 Uhr
Goto Top
Danke Rudbert,

IDMAP_RID scheint genau das zu sein was ich brauche.
Ich habe aber noch bedenken wegen der Umstellung. Wenn ich jetzt den ID-Mapper auf die RID umstelle bekommen die Domänenuser eine neue lokale ID. Unter /home muss ich dafür einmalig die Rechte neu setzen. Soweit kein Problem. Was passiert jedoch mit den Samba internen Datenbanken (z.B. winbindd-cache). Muss da noch was beachtet werden?

mfg

Ctlhuhu
Rudbert
Rudbert 26.06.2013 um 12:26:55 Uhr
Goto Top
Hallo,


da kann ich dir leider nicht weiterhelfen. Ich hab mich nur daran erinnert dass wir das früher mal serverübergreifend per LDAP IDMAP eingerichtet hatten - ist aber schon ne weile her.

Kann dir nur den Hinweis auf die IDMAP geben an mehr erinner ich mich nicht mehr face-sad


mfg