Univention Bugzilla – Bug 18293
idmap bei Trusted Domains funktioniert nicht, wenn samba/idmap/domains gesetzt ist.
Last modified: 2015-04-01 13:48:14 CEST
Die Doku zu Vertrauensstellungen sollte so angepasst werden, dass das Setzen der UCR Variable samba/idmap/domains nicht mehr empfohlen wird. D.h. die Anpassungen aus Doku Bug 16806 sollten wieder zurückgenommen werden. +++ This bug was initially created as a clone of Bug #18291 +++ UCS 2.3-2 Master und Member und ein NT4 Server. Trusted Domain eingerichtet (samba Domain UNIVENTION vertraut NT Domain TESTDOMAIN). -> wbinfo -u join-slave administrator univention TESTDOMAIN+administrator TESTDOMAIN+arno Wenn nun samba/idmap/domains=TESTDOMAIN gesetzt ist, wird in die smb.conf folgendes eingetragen. idmap config TESTDOMAIN : backend = ldap idmap config TESTDOMAIN : range = 55000-64000 idmap config TESTDOMAIN : ldap_user_dn = cn=admin,dc=univention,dc=qa idmap config TESTDOMAIN : ldap_url = ldap://qamaster.univention.qa Nach dem das Passwort dafür im Samba gesetzt wurde -> net idmap secret TESTDOMAIN $(cat /etc/ldap.secret) funktioniert das trotzdem ID Mapping nicht. -> wbinfo -n TESTDOMAIN+otto S-1-5-21-639708469-69564260-2107244640-1023 User (1) root@qamaster:~# wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023 Could not convert sid S-1-5-21-639708469-69564260-2107244640-1023 to uid Im ldap wurde auch kein IDMap Objekt angelegt. Die Authentifizierung klappt aber -> wbinfo -a TESTDOMAIN+nttest%univention plaintext password authentication succeeded challenge/response password authentication succeeded Wenn ich samba/idmap/domains lösche, so dass nur noch ldap idmap suffix = cn=idmap,cn=univention idmap uid = 55000-64000 idmap gid = 55000-64000 idmap alloc backend = ldap idmap alloc config : ldap_user_dn = cn=admin,dc=univention,dc=qa idmap alloc config : ldap_url = ldap://qamaster.univention.qa idmap config UNIVENTION : backend = nss idmap config UNIVENTION : range = 1000-54999 winbind trusted domains only = yes winbind nested groups = no in der smb.conf steht, klappt es: -> wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023 55007 Es wird dann auch ein LDAP Objekt für dieses Mapping angelegt. Falls es schon Einträge im LDAP gibt, werden dies in jedem Fall (mit oder ohne samba/idmap/domains) gefunden. Nur schreiben kann er sie anscheinend nur, wenn es keine explizite idmap Konfiguration für die Domäne gibt.
Der Hinweis, dass samba/idmap/domains zu setzen ist, wurde wieder entfernt.
Die Empfehlung samba/idmap/domains zu setzen ist aus dem Kapitel zu Vertrauenstellungen (trunk, branches/ucs-2.3) entfernt, zusätzlich wurde im Zuge der QA die zugehörige Empfehlung 'idmap secret WINDOWSDOMAIN' aufzurufen ebenfalls wieder entfernt. ( entsprechend svn diff -r2229:4454 trunk/doku/windows/vertrauensstellung.tex )