Hallo zusammen
Ich habe mit der folgenden Anleitung ein CentOS an die UCS Umgebung angebunden:
wiki.univention.de/index.php?title=Ubuntu
Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.
Vielen Dank für jeden Hinweis dazu.
mfg, Roland
Hallo,
das wird, wie mit UCS 3.1 auch auf Servern, über das Script ldap-group-to-file.py und libnss-extrausers abgebildet.
Mit freundlichen Grüßen
Janis Meybohm
Hallo Herr Meybohm
Ich würde diese Lösung auch vorschlagen. Dürfte ich Sie bitten den Wiki Artikel um diesen Eintrag zu erweitern?
Vielen Dank
Freundliche Grüsse
Rolandb
Hallo,
[quote=“rolandb”]Alles funktioniert soweit, das Problem sind die verschachtelten Gruppen, welche SSSD/NSS nicht auflösen kann. Dieses Problem sollte man auch bei Ubuntu haben. Wie wurde das Problem bei UCC gelöst?
So wie ich die SSSD Dokumentation verstanden habe, ist die momentan nicht lösbar.[/quote]ich habe mir das gerade noch einmal angeschaut. Sowohl NSS als auch SSSD unterstützen verschachtelte Gruppen, für SSSD muss hierzu das LDAP-Schema von “rfc2307” auf “rfc2307bis” geändert werden (SSSD deaktiviert nested groups bei “rfc2307”).
Da SSSD mit Schema “rfc2307bis” aber davon ausgehe die Member-DN im LDAP-Attribut “member” zu finden, muss zusätzlich das Member-Attribut auf “uniqueMember” gesetzt werden. Standardmäßig werden so verschachtelte Gruppen in zwei Ebenen unterstützt (die Tiefe kann über die Option “ldap_group_nesting_level” der sssd.conf angepasst werden). Bitte beachten Sie dass ich diese Konfiguration bisher nur rudimentär getestet habe.
Um verschachtelte Gruppen zu aktivieren, können Sie den “[domain/$kerberos_realm]”-Part der sssd.conf um die folgenden Zeilen erweitern:ldap_schema = rfc2307bis
ldap_group_member = uniqueMember
Anschließend muss vermutlich auch der Cache invalidiert werden:/etc/init.d/sssd restart
sss_cache -d $kerberos_realm
Mit freundlichen Grüßen
Janis Meybohm
Hallo Herr Meybohm
Best Dank für den Hinweis, es funktioniert.
Ich habe mir die LDAP-Options mit man 5 sssd-ldap genau angesehen und mir auch die von Ihnen genannte RFC leider ist dort nur ein ganz kleiner Hinweis auf die uniqueMember Verschachtelung.
Ein kleiner Hinweis muss ich hier machen, ich verwendet CentOS6 und dort musste ich die folgende Anpassung in sssd.conf bei [domain/default] machen und nicht bei [domain/$KERBEROS-DOMAIN]
ldap_schema = rfc2307bis
ldap_group_member = uniqueMember
ldap_group_nesting_level = 2Mit folgendem Eintrag kann man ganz genau sehen wie die Gruppe in Gruppen Auflösung gemacht wird debug_level = 0x1000.
Super Hilfe, nochmals besten Dank an das Forum
Freundliche Grüsse
Rolandb
Warum wird das eigentlich vom Join-Assistenten nicht so konfiguriert?
Vermutlich, weil niemand daran gedacht hat, weil die Verwendung verschachtelter Gruppen in Linux/OpenLDAP längst nicht so weit verbreitet ist wie unter Windows. Die wenigsten Anwendungen mit allgemeiner LDAP-Unterstützung, die ich kenne, haben wirklich Support für verschachtelte Gruppen nach OpenLDAP-Schema — meist nur nach AD-Schema.
Aber diese Änderung ist ja trivial. Gibt auch momentan keinen Bug dafür — vielleicht mal einen einstellen?
Naja verschachtelte Gruppen sind ja AFAIK schon lange Bestandteil von UCS. Entsprechender Support auf dem Client wäre eigentlich naheliegend.
Aber da du schon vom AD sprichst: Eigentlich wäre es sinnvoller Ubuntu über den SSSD-AD-Provider anzubinden, da dieser zum Beispiel (aktuell allerdings nur rudimentär) Gruppenrichtlinien unterstützt. Die Unix-Attribute sind sowieso auch über den AD-LDAP abrufbar.
EDIT: Hier ist der Bugreport:
https://forge.univention.org/bugzilla/show_bug.cgi?id=49706
Nee, sind sie nicht. Keines der folgenden Attribute ist im AD vorhanden: User-ID, ID der primären Gruppe, Home-Verzeichnis, Login-Shell.
Ich habe noch mal nachgeschaut: Bei neueren Gruppen sind die Attribute tatsächlich nicht im AD vorhanden. Aber es sollte ja kein Problem diese Attribute zu syncen.