Univention Bugzilla – Bug 18291
idmap bei Trusted Domains funktioniert nicht, wenn samba/idmap/domains gesetzt ist.
Last modified: 2011-12-20 15:13:44 CET
UCS 2.3-2 Master und Member und ein NT4 Server. Trusted Domain eingerichtet (samba Domain UNIVENTION vertraut NT Domain TESTDOMAIN). -> wbinfo -u join-slave administrator univention TESTDOMAIN+administrator TESTDOMAIN+arno Wenn nun samba/idmap/domains=TESTDOMAIN gesetzt ist, wird in die smb.conf folgendes eingetragen. idmap config TESTDOMAIN : backend = ldap idmap config TESTDOMAIN : range = 55000-64000 idmap config TESTDOMAIN : ldap_user_dn = cn=admin,dc=univention,dc=qa idmap config TESTDOMAIN : ldap_url = ldap://qamaster.univention.qa Nach dem das Passwort dafür im Samba gesetzt wurde -> net idmap secret TESTDOMAIN $(cat /etc/ldap.secret) funktioniert das trotzdem ID Mapping nicht. -> wbinfo -n TESTDOMAIN+otto S-1-5-21-639708469-69564260-2107244640-1023 User (1) root@qamaster:~# wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023 Could not convert sid S-1-5-21-639708469-69564260-2107244640-1023 to uid Im ldap wurde auch kein IDMap Objekt angelegt. Die Authentifizierung klappt aber -> wbinfo -a TESTDOMAIN+nttest%univention plaintext password authentication succeeded challenge/response password authentication succeeded Wenn ich samba/idmap/domains lösche, so dass nur noch ldap idmap suffix = cn=idmap,cn=univention idmap uid = 55000-64000 idmap gid = 55000-64000 idmap alloc backend = ldap idmap alloc config : ldap_user_dn = cn=admin,dc=univention,dc=qa idmap alloc config : ldap_url = ldap://qamaster.univention.qa idmap config UNIVENTION : backend = nss idmap config UNIVENTION : range = 1000-54999 winbind trusted domains only = yes winbind nested groups = no in der smb.conf steht, klappt es: -> wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023 55007 Es wird dann auch ein LDAP Objekt für dieses Mapping angelegt. Falls es schon Einträge im LDAP gibt, werden dies in jedem Fall (mit oder ohne samba/idmap/domains) gefunden. Nur schreiben kann er sie anscheinend nur, wenn es keine explizite idmap Konfiguration für die Domäne gibt.
Created attachment 2398 [details] mit samba/idmap/domains, idmapping schlägt fehl
Created attachment 2399 [details] log.winbindd-idmap (debug 10) ohne samba/idmap/domains, mappging kann geschrieben werden
Die für https://forge.univention.org/bugzilla/show_bug.cgi?id=16765#c7 in UCS 2.3-0 in univention-samba eingeführten Änderungen werden jetzt dadurch zurückgenommen, dass - im Join Script die UCR Variable samba/idmap/domains nicht mehr gesetzt wird - Bei Update einer früheren Version als 4.0.22-1 die Variable per unset deaktiviert wird. Der Code im Template und in univention-server/server_password_change bleibt erhalten. Changelog für Bug 17448 sinngemäß angepasst und Changelog für diesen Bug: Die für \ucsBug{16765} in UCS 2.3-0 eingeführten Änderungen an der idmap"=Konfiguration für Vertauensstellungen werden wieder deaktiviert, da winbind damit keine neuen ID-mappings mehr generiert hat. Bei Updates wird dies dadurch erreicht, dass die \ucsUCRV{samba/idmap/domains} per unset deaktiviert wird.
Falls das verified, bitte Doku Bug 18293 auf Target Milestone auf "HB 2.3-2" setzen.
samba/idmap/domains wird gelöscht falls gesetzt. /usr/lib/univention-server/server_password_change setzt das Passwort für das alloc idmap backend.
UCS 2.3-2 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden: "Clone This Bug".
*** Bug 17576 has been marked as a duplicate of this bug. ***