Univention Bugzilla – Bug 16806
Vertrauensstellung: Windows -> UCS
Last modified: 2009-12-21 08:51:48 CET
Die Anpassung an univention-samba sollte in der Handbuch Dokumentation zu Vertrauensstellungen beschrieben werden: +++ This bug was initially created as a clone of Bug #16765 +++ Zu B) Vertrauensstellung Samba -> Windows NT4 (Samba vertraut Windows): Die Ursache für die Fehlfunktion von Winbind scheint hier darin zu liegen, dass die Konfiguration für winbind idmap in Samba 3.3.0 erneut geändert wurde. Dadurch scheinen sowohl SID-Suche als auch UID-Allozierung in der Samba-Voreinstellung mit einem anonymen LDAP-Bind zu verlaufen. Das Template smb.conf.d/21univention-samba_winbind wurde so angepasst, dass sowohl SID-Suche als auch UID-Allozierung mit dem DN durchgeführt wird, der auch in 'ldap admin dn' eingetragen ist. Für die SID-Suche scheint leider jeweils die Domäne mit angegeben werden zu müssen, daher gibt es eine neue UCR-Variable 'samba/idmap/domains', in der die Domänen eingetragen werden müssen, für die das SID-mapping über idmap_ldap gegen den UCS Verzeichnis aufgelöst werden soll. Falls die Variable während der Ausführung des univention-samba Join-Scripts noch leer ist, werden die Domain Trust Accounts, die im UCS-Verzeichnis gefunden werden, in die UCS-Variable eingetragen. Bei jedem Join wird für alle Domänen in 'samba/idmap/domains' mit 'net idmap secret' das Passwort für den 'ldap admin dn' in einer TDB hinterlegt. Die UCS-Domäne wird da zur Zeit nicht eingetragen. Changelog: \item Die Konfiguration für winbind idmap wurde auf die Änderungen in Samba 3.3.x angepasst. Für Vertrauensstellungen, in denen UCS Samba so konfiguriert wurde, dass Benutzer einer Windows Domäne Ressourcen der UCS Domäne nutzen können, muss nun der Domänenname in die neue \ucsUCRV{samba/idmap/domains} eingetragen werden. Beim Ausführen des Join Scripts des neuen Paketes \ucsName{univention-samba} werden die Domain Trust Accounts aus dem UCS Verzeichnisdienst abgefragt und in die UCR Variable eingetragen, falls die \ucsUCRV{} zu dem Zeitpunkt noch leer ist. (Bug 16765)
Bei Neueinrichtung einer Vertrauensstellung Samba -> Windows zu NEWDOMAIN muss jetzt ucr set samba/idmap/domains="$(ucr get samba/idmap/domains) NEWDOMAIN" und abhängig von der Systemrolle auf Master oder Backup: net idmap secret NEWDOMAIN $(cat /etc/ldap.secret) bzw. auf Slave und Memberserver net idmap secret NEWDOMAIN $(cat /etc/machine.secret) ausgeführt werden.
Dokumentiert auf Deutsch und Englisch.
Auf Master, Backup und Slave scheint für einen korrekten Betrieb von winbind zusätzlich notwendig zu sein, dass man 'net join MEMBER -U Administrator' ausführt.
Der Befehl wurde hinzugefügt (D+E).
VERIFIED: Ist korrekt in deutscher und englischer Dokumentation beschreiben.
UCS 2.3 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".