[gelöst][smbldap-populate] warum wird root hinzugefügt?

Probleme mit Samba, NFS, FTP und Co.
Antworten
Lookbehind
Beiträge: 102
Registriert: 12.08.2011 18:09:13

[gelöst][smbldap-populate] warum wird root hinzugefügt?

Beitrag von Lookbehind » 18.02.2018 02:50:50

Hallo zusammen,

ich bin mir nicht 100% sicher, ob das hier hin gehört. Samba spielt zwar eine Rolle, aber eigentlich geht es ja mehr um LDAP.

Ich richte mir derzeit einen Samba-Server mit Authentifizierung über LDAP (kein AD) ein. Derzeit noch in VMs zu Testzwecken ohne Produktivdaten. Maschine platt machen und neu aufsetzen ist keine große Sache.

Irgendwann muss ich den Samba ja einmal mit dem LDAP verheiraten. Dazu gibt es den netten Befehl 'smbldap-populate' (smbldap-tools). Das funktioniert auch ganz hervorragend, ich kann Nutzer und Gruppen anlegen, diese Authentifizieren etc. Alles super.

Allerdings fällt mir auf, dass smbldap-populate mir automatisch einen ganzen Schwung Nutzer und Gruppen anlegt. User wie "root", die im LDAP dann auch wirklich UID 0 haben, allerdings als Home-Verzeichnis /home/root statt /root. Oder den User "nobody" mit Login-Shell /bin/bash ... irgendwie wird mir unwohl bei dem Gedanken, dass sich ja später auch andere Systeme von diesem LDAP ihre Authentifizierung holen sollen.

Frage: Gibt es einen besonderen Grund, warum diese User und Gruppen im LDAP eingeführt werden? Werden die gebraucht? Wofür? Oder können die weg? Und wenn ja, was ist der eleganteste Weg? Hab ich in der smbldap.conf eine Option übersehen, welche mir diese User anlegt?

Wenn ich versuche das zu googeln, finde ich nur ganz viele Leute, die Probleme damit hatten, dass der root-User im LDAP schon existierte, und entsprechende Hilfestellungen dafür. Aber keine Erklärungen, die mir meine Fragen beantworten würden.

von smbldap-populate hinzugefügt:
User:
  • root
  • nobody
Gruppen:
  • Domain Admins
  • Domain Users
  • Domain Guests
  • Domain Computers
  • Administrators
  • Account Operators
  • Print Operators
  • Backup Operators
  • Replicators
PS. Ein Problem mit dem TLS für LDAP hab ich auch noch. Aber dazu mache ich die Tage vielleicht mal einen gesonderten Thread.
Zuletzt geändert von Lookbehind am 19.03.2018 22:33:02, insgesamt 1-mal geändert.

rendegast
Beiträge: 14736
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: [smbldap-populate] warum wird root hinzugefügt?

Beitrag von rendegast » 24.02.2018 14:32:23

Ist imo eine Arbeitserleichterung, da diese Gruppen auf einem windows ohnehin angelegt sind.

Inwieweit das eine Vorgabe für einen (windows) DC ist?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Lookbehind
Beiträge: 102
Registriert: 12.08.2011 18:09:13

Re: [smbldap-populate] warum wird root hinzugefügt?

Beitrag von Lookbehind » 19.03.2018 22:32:34

Um das hier auch noch zum Abschluss zu bringen:
Nein, für die Funktion an sich werden keine der Gruppen oder User gebraucht. Lediglich die DNs für die User, Gruppen und Maschinen müssen existieren, und es muss eine dn "sambaDomainName" geben, die "objectClass: sambaDomain" und "objectClass: sambaUnixIdPool" vereint, und die nextUID (bzw GID und MID) mit den nächsten zu verwendenden UID-Nummern (bzw GID/MID) enthält.
Alles andere ist nur für die "Bequemlichkeit" und kann weg. ... es sei denn man möchte diese Gruppen und User verwenden.

Antworten