Bug 28401 – nscd + libnss-ldap Gruppenauflösung

Bug 28401 - nscd + libnss-ldap Gruppenauflösung


Summary:	nscd + libnss-ldap Gruppenauflösung

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	nscd
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 enhancement (vote)
Target Milestone:	UCS 3.1
Assigned To:	Stefan Gohmann
QA Contact:	Felix Botner

URL:
Keywords:	interim-1

Depends on:	28361
Blocks:	28413
	Show dependency tree / graph

Reported:	2012-09-03 17:36 CEST by Arvid Requate
Modified:	2012-12-12 21:08 CET (History)
CC List:	2 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Arvid Requate

2012-09-03 17:36:21 CEST

Mit der groupcache Implementation aus Bug #28361 erden jetzt auch lokal nicht auflösbare Benutzer mit als Gruppenmitglieder aufgeführt.

Ggf. sollte per Option steuerbar sein, ob das ldap-group-to-file.py Skript diese Benutzer ebenfals herausfiltert. Dies wäre mit einer deutlichen Performance-Einbuße beim Schreiben des group-caches verbunden.



+++ This bug was initially created as a clone of Bug #28361 +++

Comment 1 Stefan Gohmann

2012-09-04 15:32:52 CEST

Variable nss/group/cachefile/check_member wurde hinzugefügt und per Default auf true gestezt. Für Doku: Bug #28413.

Comment 2 Felix Botner

2012-09-14 12:51:22 CEST

Fail
sollte man nss/group/cachefile/check_member noch im changelog erwähnen?

Rest OK

nss/group/cachefile/check_member default true
cron file wertet nss/group/cachefile/check_member
listener ebenso

/usr/lib/univention-pam/ldap-group-to-file.py funktioniert.

Master und Slave, wobei Slave nicht auf cn=secret zugreifen darf

master -> id secret1
uid=2007(secret1) gid=5001(Domain Users) Gruppen=5001(Domain Users)

master- > univention-ldapsearch  -LLLL uid=secret1 dn
dn: uid=secret1,cn=secret,dc=ss,dc=dd

# slave ohne check_members erhält nicht vorhandende Benutzer in Gruppen

slave -> /usr/lib/univention-pam/ldap-group-to-file.py
slave -> getent group Domain\ Users
Domain Users:*:5001:test1,secret2,Administrator,secret1
slave -> id secret1
id: secret1: Einen solchen Benutzer gibt es nicht

# slave mit check_members erhält nur existierende Benutzer in Gruppen

slave -> /usr/lib/univention-pam/ldap-group-to-file.py --check_member
slave -> getent group Domain\ Users
Domain Users:*:5001:test1,Administrator
slave -> id test1
uid=2005(test1) gid=5001(Domain Users) Gruppen=5001(Domain Users)

Comment 3 Stefan Gohmann

2012-09-14 13:38:46 CEST

Changelog angepasst.

Das sollte auch im Performance Guide erwähnt werden: Bug #28413.

Comment 4 Felix Botner

2012-09-14 15:55:35 CEST

OK

Comment 5 Stefan Gohmann

2012-12-12 21:08:18 CET

UCS 3.1-0 has been released: 
 http://forum.univention.de/viewtopic.php?f=54&t=2125

If this error occurs again, please use "Clone This Bug".