Discussion:
UID's/GID's synchron halten
(zu alt für eine Antwort)
Jan Novak
2020-10-05 12:55:08 UTC
Permalink
Hallo,

zu Hause habe ich ein Netz mit einem Server, diversen VM's darauf und
aktuell 5 Linux Clients.
Ich möchte mir nicht den Aufwand mit einer Domänenverwaltung bzw. LDAP
machen. Gibt es eine einfache Möglichkeit, die UID/GUI so von den
einzelnen Clienten und den Servern zu mappen, dass ein User auf allen
Maschinen die gleichen Rechte hat und ich nicht ständig nachbessern
muss, nur weil ein Client dazu kommt oder sich eine NFS Freigabe verändert?

Jan
Jan Novak
2020-10-05 12:57:59 UTC
Permalink
Post by Jan Novak
Hallo,
zu Hause habe ich ein Netz mit einem Server, diversen VM's darauf und
aktuell 5 Linux Clients.
Ich möchte mir nicht den Aufwand mit einer Domänenverwaltung bzw. LDAP
machen. Gibt es eine einfache Möglichkeit, die UID/GUI so von den
einzelnen Clienten und den Servern zu mappen, dass ein User auf allen
Maschinen die gleichen Rechte hat und ich nicht ständig nachbessern
muss, nur weil ein Client dazu kommt oder sich eine NFS Freigabe verändert?
Kleiner Zusatz: Ich hatte das mal mit LDAP versucht. Aber auf den Linux
Clients gab es ständig irgendwelche login oder Verbindungsprobleme bei
start des Rechners oder generell, dass ewig dauerte, bevor man sich
überhaupt einloggen konnte. Hab das dann nach vielen, vielen Stunden
Arbeit verworfen.

Jan
Jochen Kellner
2020-10-05 15:58:18 UTC
Permalink
Post by Jan Novak
Kleiner Zusatz: Ich hatte das mal mit LDAP versucht. Aber auf den
Linux Clients gab es ständig irgendwelche login oder
Verbindungsprobleme bei start des Rechners oder generell, dass ewig
dauerte, bevor man sich überhaupt einloggen konnte. Hab das dann nach
vielen, vielen Stunden Arbeit verworfen.
Ich habe hier FreeIPA am laufen, aber das ist sicher "zu groß" für
Dich. Was das aber gut macht ist sssd auf den Clients. Den kann man an
IPA, AD oder LDAP anbinden - und der kann dann Caching der Credentials
machen, so dass man sich auch ohne Netzwerk-Verbindung anmelden kann.
Ist vielleicht einen Blick wert.

Jochen
--
This space is intentionally left blank.
Jan Novak
2020-10-06 05:39:41 UTC
Permalink
Post by Jochen Kellner
Post by Jan Novak
Kleiner Zusatz: Ich hatte das mal mit LDAP versucht. Aber auf den
Linux Clients gab es ständig irgendwelche login oder
Verbindungsprobleme bei start des Rechners oder generell, dass ewig
dauerte, bevor man sich überhaupt einloggen konnte. Hab das dann nach
vielen, vielen Stunden Arbeit verworfen.
Ich habe hier FreeIPA am laufen, aber das ist sicher "zu groß" für
Dich. Was das aber gut macht ist sssd auf den Clients. Den kann man an
IPA, AD oder LDAP anbinden - und der kann dann Caching der Credentials
machen, so dass man sich auch ohne Netzwerk-Verbindung anmelden kann.
Ist vielleicht einen Blick wert.
Was ist denn auf Clientseite notwendig, um es zu nutzen, bzw. den
Clienten einzubinden?

Jan
Thomas Orgelmacher
2020-10-05 17:30:29 UTC
Permalink
Kleiner Zusatz: Ich hatte das mal mit LDAP versucht. Aber auf den Linux Clients
gab es ständig irgendwelche login oder Verbindungsprobleme bei start des
Rechners oder generell, dass ewig dauerte, bevor man sich überhaupt einloggen
konnte. Hab das dann nach vielen, vielen Stunden Arbeit verworfen.
NIS+?

Aber im Ernst: die Probleme die Du da beschreibst, könnten daher
rühren, daß in der nsswitch.conf die Abfragereihenfolge suboptimal
ist.
Wenn die Systemaccounts alle per LDAP abgefragt werden, müssen die
dann alle erst auf einen Timeout laufen, bis das System entsprechend
weit ist.

Ansonsten würde ich die entsprechenden Dateien von einer zentralen
stelle kopieren.


Gruß, Thomas
--
I have seen things you lusers would not believe. I've seen Sun
monitors on fire off the side of the multimedia lab. I've seen
NTU lights glitter in the dark near the Mail Gate. All these
things will be lost in time, like the root partition last week.
Jan Novak
2020-10-06 05:37:46 UTC
Permalink
Post by Thomas Orgelmacher
Post by Jan Novak
Kleiner Zusatz: Ich hatte das mal mit LDAP versucht. Aber auf den
Linux Clients gab es ständig irgendwelche login oder
Verbindungsprobleme bei start des Rechners oder generell, dass ewig
dauerte, bevor man sich überhaupt einloggen konnte. Hab das dann nach
vielen, vielen Stunden Arbeit verworfen.
NIS+?
Gibt es dafür eine aktuelle und einfache Doku?
Post by Thomas Orgelmacher
Aber im Ernst: die Probleme die Du da beschreibst, könnten daher
rühren, daß in der nsswitch.conf die Abfragereihenfolge suboptimal
ist.
Wenn die Systemaccounts alle per LDAP abgefragt werden, müssen die
dann alle erst auf einen Timeout laufen, bis das System entsprechend
weit ist.
Ansonsten würde ich die entsprechenden Dateien von einer zentralen
stelle kopieren.
Das ist doch das Problem.
User x hat auf System Y die ID 1005 auf einem anderen die ID 1020
(Beispielhaft).



Jan
Kay Martinen
2020-10-06 14:43:15 UTC
Permalink
Post by Jan Novak
Post by Thomas Orgelmacher
NIS+?
Gibt es dafür eine aktuelle und einfache Doku?
Wird NIS+ wirklich noch verwendet, für irgendwas?
Post by Jan Novak
Post by Thomas Orgelmacher
Ansonsten würde ich die entsprechenden Dateien von einer zentralen
stelle kopieren.
Das ist doch das Problem.
User x hat auf System Y die ID 1005 auf einem anderen die ID 1020
(Beispielhaft).
Da möchte ich mich mal anhängen mit dem gleichen Problem. Auf dem Server
fangen die UIDs erst bei 2000 an, auf dem Client bei 1000. Auf dem
Server sind 1000... belegt. Dort umsetzen bringts also nicht. Muß ich da
jetzt auf jedem Client die UID ändern oder geht das auch anders/einfacher?


Kay
--
Posted via leafnode
Thomas Orgelmacher
2020-10-06 17:56:30 UTC
Permalink
Post by Kay Martinen
Da möchte ich mich mal anhängen mit dem gleichen Problem. Auf dem Server
fangen die UIDs erst bei 2000 an, auf dem Client bei 1000. Auf dem
Server sind 1000... belegt. Dort umsetzen bringts also nicht. Muß ich da
jetzt auf jedem Client die UID ändern oder geht das auch anders/einfacher?
Eine Seite wird sich wohl bewegen müssen.

Aber das ist doch nun wirklich fix gemacht. UID in /etc/passwd ändern
und dann ein chown auf's /home/xxx.

Und wenn es da um hunderte von Accounts geht, ist das auch im
Handumdrehen automatisiert.



Gruß, Thomas
--
I have seen things you lusers would not believe. I've seen Sun
monitors on fire off the side of the multimedia lab. I've seen
NTU lights glitter in the dark near the Mail Gate. All these
things will be lost in time, like the root partition last week.
Thomas Orgelmacher
2020-10-06 17:48:48 UTC
Permalink
Post by Jan Novak
Post by Thomas Orgelmacher
NIS+?
Gibt es dafür eine aktuelle und einfache Doku?
Das war ein Scherz. Selbst unter Solaris ist das AFAIR vor
~10 Jahren durch LDAP ersetzt worden. Man will heute kein NIS mehr.
Post by Jan Novak
Post by Thomas Orgelmacher
Aber im Ernst: die Probleme die Du da beschreibst, könnten daher
rühren, daß in der nsswitch.conf die Abfragereihenfolge suboptimal
ist.
Wenn die Systemaccounts alle per LDAP abgefragt werden, müssen die
dann alle erst auf einen Timeout laufen, bis das System entsprechend
weit ist.
Was ist denn hiermit?

Ich habe mit LDAP mal eine recht große Installation (ein Master und
fünf Slaves) vollkommen stressfrei betrieben...
Post by Jan Novak
Post by Thomas Orgelmacher
Ansonsten würde ich die entsprechenden Dateien von einer zentralen
stelle kopieren.
Das ist doch das Problem.
User x hat auf System Y die ID 1005 auf einem anderen die ID 1020 (Beispielhaft).
Naja, nicht mehr nachdem Du /etc/passwd, /etc/shadow und /etc/groups
von einer zentralen Stelle ersetzt hast...

Wobei ich jetzt nicht sagen kann, das mir die Lösung gefällt.


Gruß, Thomas
--
I have seen things you lusers would not believe. I've seen Sun
monitors on fire off the side of the multimedia lab. I've seen
NTU lights glitter in the dark near the Mail Gate. All these
things will be lost in time, like the root partition last week.
Jan Novak
2020-10-07 10:15:07 UTC
Permalink
Post by Thomas Orgelmacher
Post by Jan Novak
NIS+?
Gibt es dafür eine aktuelle und einfache Doku?
Das war ein Scherz. Selbst unter Solaris ist das AFAIR vor
~10 Jahren durch LDAP ersetzt worden. Man will heute kein NIS mehr.
Ich habe mir jetzt NIS installiert. Ist überall dabei und funktioniert
ziemlich einfach. Mit einem kleinen Script installiert er alels was
nötig ist und passt die Konfigs an. Ein reboot später kann ich mich
anmelden.
Soweit so gut.

Was spricht denn gegen NIS?
Post by Thomas Orgelmacher
Ich habe mit LDAP mal eine recht große Installation (ein Master und
fünf Slaves) vollkommen stressfrei betrieben...
Damit die (linux-)Slaves sauber laufen ist so viel (vor allem manuelle)
Anpassung notwendig. Und wenne s dann noch verschieden Versionen und
Distributionen sind, ist das nicht zu bewältigen.

Seltsamerweise gibt es gefühlt 1000:1 Anleitungen, wie du einen Samba AD
konfigurierst, um Windows Klienten an zu binden, aber keine, wie du
Linux Klienten an einen LDAP bindest.

Jan
Sven Hartge
2020-10-07 10:52:28 UTC
Permalink
Post by Jan Novak
Post by Jan Novak
Gibt es dafür eine aktuelle und einfache Doku?
Das war ein Scherz. Selbst unter Solaris ist das AFAIR vor ~10 Jahren
durch LDAP ersetzt worden. Man will heute kein NIS mehr.
Ich habe mir jetzt NIS installiert. Ist überall dabei und funktioniert
ziemlich einfach. Mit einem kleinen Script installiert er alels was
nötig ist und passt die Konfigs an. Ein reboot später kann ich mich
anmelden. Soweit so gut.
Was spricht denn gegen NIS?
Unsicher, stammt noch aus einer Zeit, in der Hosts im Netz sich
unbegrenzt gegenseitig und dem Netz vertraut haben. Du solltest, auch
als normaler User, in der Lage sein via "ypclient" den rohen
Passwort-Hash geliefert zu bekommen.

Hat (IIRC) Probleme mit größeren Mengen von Gruppenmitgliedschaften pro
User und kommt auch (IIRC) nicht mit UIDs/GIDs > 2^16-1 klar.
Post by Jan Novak
Seltsamerweise gibt es gefühlt 1000:1 Anleitungen, wie du einen Samba AD
konfigurierst, um Windows Klienten an zu binden, aber keine, wie du
Linux Klienten an einen LDAP bindest.
libpam-ldapd und libnss-ldapd

S!
--
Sigmentation fault. Core dumped.
Jan Novak
2020-10-07 12:41:38 UTC
Permalink
Post by Sven Hartge
Post by Jan Novak
Was spricht denn gegen NIS?
Unsicher, stammt noch aus einer Zeit, in der Hosts im Netz sich
unbegrenzt gegenseitig und dem Netz vertraut haben. Du solltest, auch
als normaler User, in der Lage sein via "ypclient" den rohen
Passwort-Hash geliefert zu bekommen.
hmm.... für meinen Anwendungsfall - zu Hause auf dem Server mit einen
VM's und ein paar Clients, inkl. Raspis und co. scheint mir das NIS
genau passend zu sein. Extrem unkompliziert - sowohl auf Server als auch
auf Client Seite.
Einen LDAP Server out of the Box unter Debian zu installieren ist ein
Akt sondergleichen. Es gibt nicht mal die passenden Schemas, um nur
genau "passwd, shadow und groups" abzubilden. Muss man sich alles von
irgebdwoher zusammensuchen und step by step einzeln installieren.
Dann kommt noch die kryptische CLI Administration hinzu. Schrecklich.
Da ist NIS (Serverseitig) deutlich Anwendungsfreundlicher.
Post by Sven Hartge
Hat (IIRC) Probleme mit größeren Mengen von Gruppenmitgliedschaften pro
User und kommt auch (IIRC) nicht mit UIDs/GIDs > 2^16-1 klar.
würde hier niemals zutreffen.
Post by Sven Hartge
Post by Jan Novak
Seltsamerweise gibt es gefühlt 1000:1 Anleitungen, wie du einen Samba AD
konfigurierst, um Windows Klienten an zu binden, aber keine, wie du
Linux Klienten an einen LDAP bindest.
libpam-ldapd und libnss-ldapd
Wenn es das nur wäre ;-)

Jan
Ralph Angenendt
2020-10-08 10:56:13 UTC
Permalink
Post by Jan Novak
Post by Sven Hartge
Hat (IIRC) Probleme mit größeren Mengen von Gruppenmitgliedschaften pro
User und kommt auch (IIRC) nicht mit UIDs/GIDs > 2^16-1 klar.
würde hier niemals zutreffen.
(nfs)nobody hat klassischerweise die UID -1, was bei einem 64bit Linux
weitaus mehr als 2^16 ist.

Ralph
--
Übervaterlandverräter und Mutterkornmblumenblau
j***@schily.net
2020-10-08 12:30:47 UTC
Permalink
Post by Ralph Angenendt
(nfs)nobody hat klassischerweise die UID -1, was bei einem 64bit Linux
weitaus mehr als 2^16 ist.
NFS nobody war in den 1980er Jahren 65534, das entspricht evt. -2

Seit ca. 1992, als 32 Bit UIDs eingeführt wurden, ist nobody 60001
und es kam zusätzlich "noaccess" mit 60002 hinzu, welches eine UID ist, die
niemand versehentlich bekommen kann, um Dateien zu erzeugen, auf die niemand
zugreifen darf.
--
EMail:***@schily.net (home) Jörg Schilling D-13353 Berlin
***@fokus.fraunhofer.de (work) Blog: http://schily.blogspot.com/
URL: http://cdrecord.org/private/ http://sourceforge.net/projects/schilytools/files/
Thomas Orgelmacher
2020-10-08 17:34:49 UTC
Permalink
Einen LDAP Server out of the Box unter Debian zu installieren ist ein Akt
sondergleichen. Es gibt nicht mal die passenden Schemas, um nur genau "passwd,
shadow und groups" abzubilden.
"PosixAccount" und "PosixGroup" gehören definitiv zum Standard bei
OpenLDAP.
Muss man sich alles von irgebdwoher zusammensuchen und step by step
einzeln installieren.
Das ist (vorsichtig formuliert) flasch. Also, das mit "irgendwoher
zusammensuchen". Und die auch der Aufwand der Installation hält sich auch in
Grenzen.
Dann kommt noch die kryptische CLI Administration hinzu. Schrecklich.
jxplorer z.B.?


Gruß, Thomas
--
I have seen things you lusers would not believe. I've seen Sun
monitors on fire off the side of the multimedia lab. I've seen
NTU lights glitter in the dark near the Mail Gate. All these
things will be lost in time, like the root partition last week.
Marc Haber
2020-10-08 19:34:42 UTC
Permalink
Post by Thomas Orgelmacher
Einen LDAP Server out of the Box unter Debian zu installieren ist ein Akt
sondergleichen. Es gibt nicht mal die passenden Schemas, um nur genau "passwd,
shadow und groups" abzubilden.
"PosixAccount" und "PosixGroup" gehören definitiv zum Standard bei
OpenLDAP.
Ist das nicht schon eine (standardisierte) Schemaerweiterung?
Post by Thomas Orgelmacher
Muss man sich alles von irgebdwoher zusammensuchen und step by step
einzeln installieren.
Das ist (vorsichtig formuliert) flasch. Also, das mit "irgendwoher
zusammensuchen". Und die auch der Aufwand der Installation hält sich auch in
Grenzen.
Erst seit sssd ist die Integration wirklich beherrschbar geworden, und
den gibt es noch nicht so lange. Und wenn es damit Probleme gibt, kann
man sich nicht einloggen. Und wenn man dann noch sudo-Berechtigungen
aus dem LDAP holen möchte, geht der Spaß erst richtig los.

Ich denke, unter einer mittleren zweistelliggen Anzahl Rechner lohnt
sich der Aufriß nur wenn man LDAP lernen möchte. Sonst sollte man sich
andere Mechanismen zur Accountdefinition wie z.B. Ansible ausdenken.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Jan Novak
2020-10-09 13:06:15 UTC
Permalink
Post by Marc Haber
Erst seit sssd ist die Integration wirklich beherrschbar geworden, und
den gibt es noch nicht so lange. Und wenn es damit Probleme gibt, kann
man sich nicht einloggen. Und wenn man dann noch sudo-Berechtigungen
aus dem LDAP holen möchte, geht der Spaß erst richtig los.
Genau meine Rede ...
Post by Marc Haber
Ich denke, unter einer mittleren zweistelliggen Anzahl Rechner lohnt
sich der Aufriß nur wenn man LDAP lernen möchte. Sonst sollte man sich
andere Mechanismen zur Accountdefinition wie z.B. Ansible ausdenken.
mit Ansible habe ich mich noch nicht beschäftigt, aber zu LDAP habe ich
ein turnkey LXC Container gefunden. Habe das mal Testweise aufgesetzt -
erstaunlich (einfach). Habe mir noch den apapche und ein paar libs sowie
den LAM installiert. Soweit so gut.

Shell logins klappne. Habe jetzt auch ein nextcloud angebunden - und da
gehts dann los. Der Web login dauert 20 Sekunden (vorher klick - da),
der 1. Zugriff über meinen Gnome Desktop ebenso. Das ist doch sch... ;-)


Jan

Andreas Fenner
2020-10-07 16:43:50 UTC
Permalink
Dieser beitrag ist möglicherweise unangemessen. Klicken sie auf, um es anzuzeigen.
Andreas Fenner
2020-10-07 16:52:26 UTC
Permalink
Dieser beitrag ist möglicherweise unangemessen. Klicken sie auf, um es anzuzeigen.
Ralph Aichinger
2020-10-07 16:56:51 UTC
Permalink
Post by Andreas Fenner
Glaube kaum das (freiwillig) jemand NIS+ aufsetzen möchte. Selbst "alte"
SUN/Solaris-Admins machen da einen Bogen rum (warum nur...).
Und heute ist das ganze vermutlich schon deutlich angenagt vom
Bitrot. Sun gibt es nicht mehr, und Oracle hat sicher andere
Baustellen.

/ralph
--
-----------------------------------------------------------------------------
https://aisg.at
ausserirdische sind gesund
Andreas Fenner
2020-10-07 17:35:03 UTC
Permalink
Post by Ralph Aichinger
Post by Andreas Fenner
Glaube kaum das (freiwillig) jemand NIS+ aufsetzen möchte. Selbst "alte"
SUN/Solaris-Admins machen da einen Bogen rum (warum nur...).
Und heute ist das ganze vermutlich schon deutlich angenagt vom
Bitrot. Sun gibt es nicht mehr, und Oracle hat sicher andere
Baustellen.
/ralph
NIS+ ist Tod!
Ich administrier (u.a.) SunOS/Solaris seit SunOS 4.0 und NIS+ ist bei
uns niemals auch nur in die "probier mal" Phase gekommen. Nach lesen der
Doku kam schnell die Erkenntnis "wart mal ab was die anderen machen".
Naja, da kam dann eher ein "viel zu kompliziert" usw. von benachbarten
Admins...

Andreas
j***@schily.net
2020-10-08 12:35:05 UTC
Permalink
Post by Andreas Fenner
NIS+ ist Tod!
Sagen wir mal, NIS+ ist tot ;-)

Es verstarb am 6.12.2006.
Post by Andreas Fenner
Ich administrier (u.a.) SunOS/Solaris seit SunOS 4.0 und NIS+ ist bei
uns niemals auch nur in die "probier mal" Phase gekommen. Nach lesen der
Doku kam schnell die Erkenntnis "wart mal ab was die anderen machen".
Naja, da kam dann eher ein "viel zu kompliziert" usw. von benachbarten
Admins...
Es gab schon um 1995 ein USENET Posting mit der Ankündigung von NIS++, bei dem
man sich u.A. auf 100 wesentliche Kommandos beschränkt hat um die Bedienung zu
vereinfachen.

NIS+ war eigentlich ein gutes Konzept, nur konnten sich viel zu wenige Leute
dafür erwärmen. Da es OSS ist, könnte es jeder der will leicht wieder zurück
holen.
--
EMail:***@schily.net (home) Jörg Schilling D-13353 Berlin
***@fokus.fraunhofer.de (work) Blog: http://schily.blogspot.com/
URL: http://cdrecord.org/private/ http://sourceforge.net/projects/schilytools/files/
Lesen Sie weiter auf narkive:
Loading...