User Dilemma

elmanso · January 10, 2014, 8:42am

Hallo,

Ich habe ein für mich nicht lösbares Problem mit der Userverwaltung zwischen dem Server und einem nach Anleitung installierten Ubuntu client.
Problem entweder:
-user und gruppen werden korrekt vom Server gelesen, also getent passwd und group zeigt die jew. an.
Es exitsiert ein lokales ( auf client ) erstelltes Homeverzeichnis für einen dieser ldap user. Klappt auch prima. ABER: Beim Starten von akonadictl wird gemeckert dass die Rechte an der db nicht geändert werden können. Das Problem ist bekannt bei nfs importierten Verzeichnissen, ist aber hier nicht der Fall, sondern es liegt nach 2 Tagen herumprobieren letztendlich daran, dass sich ein importierter ldap user halt nicht wie ein regulärer lokaler verhält. Auch ein komplett les und schreibbares Verzeichnis versagt… Klartext: Kontact kann nicht genutzt werden!

Problem oder:
Ich umgehe das Problem indem ich einen lokalen user verwende, per nfs die benötigten Verzeichnisse einbinde. ABER: natürlich habe ich als Systembenutzer keine Rechte an dem freigegebenen Verzeichniss. Dh. ist muss es für jeden les und schreibbar gestalten, um es nutzen zu können! Soll ja nicht sein! Jetzt dachte ich könnte ich den lokalen Benutzer wenigstens der importierten Gruppe xyz mit usermod -aG user Gruppe hinzufügen. Geht aber auch nicht!!

Zum Haareraufen!!

Kann mir irgendwer dazu den Knoten im Kopf lösen?, Auch wenns fast hier OT ist…

Marc Schumann

elmanso · January 11, 2014, 3:47pm

Hallo,
zufällig bin ich fündig geworden was das Benutzen von ldap usern angeht. Scheinbar greifen hier noch ganz andere Sachen mit ins Räderwerk. Ob das jetzt generell mit auch noch zusätzlichen importierten nfs homeverzeichnissen geht weiss ich nicht, aber zumindest kann ich als “importierter” user jetzt die mysql datenbank für akonadi initialiesieren. Vorher hat er immer gemeckert dass er ( der Clientrechner ) die Rechte nicht im Verzeichnis ändern kann. Aber dank eines Hinweises irgendwo in einem Forum gehts! Scheinbar spielt hier apparmor mit:

aa-complain mysqld
aa-complain mysqld-akonadi
/etc/init.d/apparmor reload

und dann akonadictl start.

…schöööön.

Trotzdem würde mich so nebenbei interresieren inwiefern sich “importierte” user und "lokale " Benutzer unterscheiden. Warum kann man die z.B. nicht lokalen Gruppen und umgekehrt zuordnen?

Viele Grüße
Marc Schumann

greif · January 16, 2014, 1:37pm

Hallo Marc,

Kurze Antwort: die kennen sich gegenseitig nicht. Lange Antwort:

Lokale Nutzer und Gruppen stehen in /etc/passwd und /etc/group. Die sind dem lokalen System bekannt, sobald es startet. Man kann in den beiden Dateien sehen, daß die IDs von Null beginnend hochgezählt werden.

Domänen-Nutzer und Domänen-Gruppen kennt das lokale System beim Hochfahren nicht. Erst wenn das System hochgefahren ist, verbindet es sich mit dem LDAP Verzeichnis eines Domain-Controllers und holt die Daten aus der Domäne. Wenn Du das Kommando id eingibst, siehst Du, daß Deine UID und Gruppennummern ziemlich hoch sind (z.B. User-ID über 2000, Gruppen-ID über 5000), im Gegensatz zu den Einträgen in /etc/passwd und /etc/group.

In Deinem Client-System ist eine Art Weiche (Name Service Switch oder System Security Services Daemon) eingebaut, die anhand der ID-Nummern entscheidet, ob eine Identität lokal (kleine Nummern) oder im LDAP (große Nummern) aufgelöst werden soll. Im übrigen werden Domänen-Nutzer nicht importiert, sondern sind immer nur dann verfügbar, wenn Dein Computer Verbindung zur Domäne hat. Und nur zur Frage: der Domain Controller kann die IDs der lokalen Nutzer und Gruppen eines jeden Clients nicht kennen, also kann er sie auch nicht seinen LDAP-Objekten zuordnen, und ein lokaler Client kann keine Zuordnung zu den Domain-Objekten herstellen, weil es eben sein kann, daß die einfach mal nicht auflösbar sind (keine Verbindung zur Domain o.a.).

viele Grüße
Frank Greif.