Bug 18293 – idmap bei Trusted Domains funktioniert nicht, wenn samba/idmap/domains gesetzt ist.

Bug 18293 - idmap bei Trusted Domains funktioniert nicht, wenn samba/idmap/domains gesetzt ist.


Summary:	idmap bei Trusted Domains funktioniert nicht, wenn samba/idmap/domains gesetz...

Status:	CLOSED FIXED

Product:	UCS manual
Classification:	Unclassified
Component:	Services for Windows
Version:	unspecified
Hardware:	Other Linux

Importance:	P5 normal (vote)
Target Milestone:	UCS 2.3-2
Assigned To:	Moritz Muehlenhoff
QA Contact:	Arvid Requate

URL:
Keywords:

Depends on:	18291
Blocks:
	Show dependency tree / graph

Reported:	2010-04-30 12:27 CEST by Arvid Requate
Modified:	2015-04-01 13:48 CEST (History)
CC List:	4 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Arvid Requate

2010-04-30 12:27:47 CEST

Die Doku zu Vertrauensstellungen sollte so angepasst werden, dass das Setzen der UCR Variable samba/idmap/domains nicht mehr empfohlen wird. D.h. die Anpassungen aus Doku Bug 16806 sollten wieder zurückgenommen werden.

+++ This bug was initially created as a clone of Bug #18291 +++

UCS 2.3-2 Master und Member und ein NT4 Server. Trusted Domain eingerichtet
(samba Domain UNIVENTION vertraut NT Domain TESTDOMAIN).

-> wbinfo -u
join-slave
administrator
univention
TESTDOMAIN+administrator
TESTDOMAIN+arno

Wenn nun samba/idmap/domains=TESTDOMAIN gesetzt ist, wird in die smb.conf
folgendes eingetragen.

        idmap config TESTDOMAIN : backend = ldap
        idmap config TESTDOMAIN : range = 55000-64000
        idmap config TESTDOMAIN : ldap_user_dn = cn=admin,dc=univention,dc=qa
        idmap config TESTDOMAIN : ldap_url = ldap://qamaster.univention.qa

Nach dem das Passwort dafür im Samba gesetzt wurde

-> net idmap secret TESTDOMAIN $(cat /etc/ldap.secret)

funktioniert das trotzdem ID Mapping nicht.

-> wbinfo  -n TESTDOMAIN+otto
S-1-5-21-639708469-69564260-2107244640-1023 User (1)
root@qamaster:~# wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023
Could not convert sid S-1-5-21-639708469-69564260-2107244640-1023 to uid

Im ldap wurde auch kein IDMap Objekt angelegt.
Die Authentifizierung klappt aber 

-> wbinfo -a TESTDOMAIN+nttest%univention
plaintext password authentication succeeded
challenge/response password authentication succeeded

Wenn ich samba/idmap/domains lösche, so dass nur noch

        ldap idmap suffix = cn=idmap,cn=univention        
        idmap uid = 55000-64000                           
        idmap gid = 55000-64000
        idmap alloc backend = ldap
        idmap alloc config : ldap_user_dn = cn=admin,dc=univention,dc=qa
        idmap alloc config : ldap_url = ldap://qamaster.univention.qa
        idmap config UNIVENTION : backend = nss
        idmap config UNIVENTION : range = 1000-54999
        winbind trusted domains only = yes
        winbind nested groups = no

in der smb.conf steht, klappt es:

-> wbinfo -S S-1-5-21-639708469-69564260-2107244640-1023
55007

Es wird dann auch ein LDAP Objekt für dieses Mapping angelegt.

Falls es schon Einträge im LDAP gibt, werden dies in jedem Fall (mit oder ohne
samba/idmap/domains) gefunden. Nur schreiben kann er sie anscheinend nur, wenn
es keine explizite idmap Konfiguration für die Domäne gibt.

Comment 1 Moritz Muehlenhoff

2010-05-03 15:02:34 CEST

Der Hinweis, dass samba/idmap/domains zu setzen ist, wurde wieder entfernt.

Comment 2 Arvid Requate

2010-05-17 12:34:49 CEST

Die Empfehlung samba/idmap/domains zu setzen ist aus dem Kapitel zu Vertrauenstellungen (trunk, branches/ucs-2.3) entfernt, zusätzlich wurde im Zuge der QA die zugehörige Empfehlung 'idmap secret WINDOWSDOMAIN' aufzurufen ebenfalls wieder entfernt.
( entsprechend svn diff -r2229:4454 trunk/doku/windows/vertrauensstellung.tex )