Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Probleme mit Samba, NFS, FTP und Co.
Antworten
Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von ThorstenS » 04.01.2019 19:57:48

du hast keinen sssd auf dem Client oder Server, oder?
In dem Fall würde sss_cache helfen den Cache zu invalidieren (-u, -g, -N)

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 07.01.2019 12:24:12

Nein ich habe kein sssd im Einsatz.

Noch eine andere Idee?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 14.02.2019 10:51:38

Jetzt hab ich das ganze noch einmal unter der Debian Buster (testing) aufgesetzt. Hier habe ich nachwievor das selbe Problem.

Es muss doch eine Möglichkeit geben, einem LDAP Benutzer mittels LDAP Gruppen ALC Berechtigungen auf einem NFS Server zuzuweisen und diese umgehend zu aktivieren.
Hier wird an irgendeiner Stelle ein Cache verwendet, welcher die Änderung im LDAP (hinzufügen von Benutzern zu einer Gruppe) nicht bereitstellt.

Mit getent group | grep "user" sehe ich am Server und am Client auch direkt die Zugehörigkeit des Benuters in der neuen Gruppe. Der Benutzer hat jedoch noch keinen Zugriff auf den NFS Ordner.
Muss man hier evtl. noch etwas am NFS Server ausführen?

Ich komme hier einfach nicht weiter. Das ist echt ein ziemlich großes Problem.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 31.10.2019 10:26:26

Hallo zusammen,

ich habe das Thema die letzte Zeit etwas vernachlässigt und noch mal aufgegriffen.

Auch in der aktuellen Debian Buster Version habe ich nach wie vor das selbe Problem.
  • Benutzer wird in die neue Gruppe gesteckt
  • Auf dem Client die Zugehörigkeit geprüft: "getend group"
  • Kein Zugriff auf den NFS4 Folder
Ich hab so langsam keine Idee mehr wonach ich suchen könnte. Hat jemand eine Idee an wen ich mich zu diesem Thema noch wenden kann?
Auf welcher Seite ist das Problem zu suchen?
  • NFS4 mit ACL´s
  • LDAP User/Group
  • Client
Gibt es vielleicht eine Möglichkeit die effektiven Berechtigungen meines Users abzufragen? Ohne getent group?

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von mludwig » 31.10.2019 12:40:41

Funktioniert das NFS4 mit ACL über Kerberos Tickets? Die werden bei der Anmeldung ausgestellt und beinhalten die Nutzerrechte für die Resource, und bis zum Ablauf werden die auch nicht erneuert. Weitere Infos z B unter http://www.rcg.sfu.ca/workstations/kerberos.html
Für dich vermutlich ab Q #12 interessant.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Zeitverzögerung nach LDAP Gruppenmitglieder Anpassung

Beitrag von joe2017 » 31.10.2019 15:36:27

Hallo mludwig,

ja das hatte ich auch schon vermutet.
Jedoch habe ich bereits mit kdestroy und kinit mein kerberos Ticket neu erstellt. Auch das hat nicht geholfen.
Das seltsame ist, dass es nach einer Zeit irgendwann funktioniert. Daher tippe ich ja immer noch auf einen Cache. Aber alles was ich mit nscd unternommen habe hat nicht funktioniert.

Noch mal für mein Verstätndnis.
  • Am NFS4 Server habe ich ja nichts verändert. Die LDAP Gruppe A hat zugriff auf den Ordner A.
  • Ich sorge lediglich dafür das Benutzer xy in die LDAP Gruppe A aufgenommen wird.
  • Wenn ich am Client mit getent group | grep "Benutzer xy" meine LDAP Zugehörigkeit prüfe, sehe ich das ich Mitglied der Gruppe A bin.
  • Jedoch habe ich noch keine Berechtigung auf den NFS4 Ordner A.
Dies sollte den NFS4 Server eigentlich ausschließen.

Antworten