Hallo,
wir testen unser Produkt opsi aktuell auf diversen UCS 5.0 Rollen. Aktuell funktioniert es auf einem Memberserver problemlos.
Auf allen anderen Rollen kriegen wir Probleme wenn wir von einem Client aus einem Miniroot den zuvor eingerichteten SMB Share mounten wollen mit der Meldung Permission Denied
Der Einfachheit halber habe ich nun einen UCS 5.0 Master genommen und veruscht mittels smbclient auf den Share zu verbinden
smbclient -U pcpatch //10.100.236.111/opsi_depot
lpcfg_do_global_parameter: WARNING: The "syslog" option is deprecated
Enter WORKGROUP\pcpatch's password:
Try "help" to get a list of possible commands.
smb: \> ls
NT_STATUS_ACCESS_DENIED listing \*
smb: \> q
Der gewünschte Share liegt unter /var/lib/opsi/depot
und hat folgende Berechtigungen
getfacl /var/lib/opsi/depot/
getfacl: Entferne führende '/' von absoluten Pfadnamen
# file: var/lib/opsi/depot/
# owner: opsiconfd
# group: opsifileadmins
# flags: -s-
user::rwx
group::rwx
other::---
Der user pcpatch wurde per udm Befehl angelegt ist auch in der Oberfläche verfügbar und ist Mitglied der Gruppe opsifileadmins
getent group opsifileadmins
opsifileadmins:*:5075:pcpatch,opsiconfd,adminuser
Was mir etwas komisch vorkommt ist die Tatsache dass das UID auf SID Mapping nicht korrekt zu sein scheint
# id pcpatch
uid=2009(pcpatch) gid=5075(opsifileadmins) Gruppen=5075(opsifileadmins)
# wbinfo -n pcpatch
S-1-5-21-747737302-4010260580-411728646-1115 SID_USER (1)
# wbinfo --uid-to-sid=2009
S-1-5-21-2911367237-2184100041-1077561524-1115
# wbinfo --sid-to-uid=S-1-5-21-2911367237-2184100041-1077561524-1115
2009
# wbinfo --sid-to-uid=S-1-5-21-747737302-4010260580-411728646-1115
3000016
# net getdomainsid
SID for domain MAS-OPSI-EXP is: S-1-5-21-747737302-4010260580-411728646
# wbinfo --domain MAS-OPSI-EXP -n pcpatch
S-1-5-21-747737302-4010260580-411728646-1115 SID_USER (1)
# wbinfo --domain MASTER236-50 -n pcpatch
S-1-5-21-747737302-4010260580-411728646-1115 SID_USER (1)
Es existieren 2 SIDs für den user pcpatch, was wahrscheinlich zu diesem Problem führt.
Hat jemand einen Tip wo ich noch schauen/suchen soll?
Gruß
Mathias