Solaris 10 Gruppen -> LDAP Integration

[claus]

Hallo allerseits,

so .... wir sind so manchen Schritt weiter, allerdings gibt es noch ein Problem:

Code: [Auswählen]

[lenape-neu:/tmp/test]$ id
uid=3618(osteholdap) gid=504(ts_all)
Ich bin gerade dieser User und eigentlich auch in der LDAP Gruppe ts_de_de_gg_ax.

Code: [Auswählen]

[lenape-neu:/tmp/test]$ getent group | grep ts_de_de_gg_ax
ts_de_de_gg_ax::1400:uid=tsmaster, ou=People, o=*************,[...],uid=osteholdap, ou=People, o=*************
Demnach habe ich ein Verzeichnis angelegt als root:

Code: [Auswählen]

mkdir test2
chown root:ts_de_de_gg_ax test2/
chmod 770 test2/

Heraus kommt dabei natürlich folgendes:

Code: [Auswählen]

[lenape-neu:/tmp/test]$ ls -artl
total 48
drwxrwx---   2 root     ts_de_de_gg_ax     117 Jan 24 16:32 test2
drwxr-xr-x   3 osteholdap ts_de_de_gg_ax     179 Jan 24 16:32 .
drwxrwxrwt  10 root     sys          734 Jan 24 16:50 ..
Ich bin immer noch:

Code: [Auswählen]

[lenape-neu:/tmp/test]$ id
uid=3618(osteholdap) gid=504(ts_all)
Allerdings passiert jetzt folgendes:

Code: [Auswählen]

[lenape-neu:/tmp/test]$ cd test2/
bash: cd: test2/: Permission denied
Die repräsentative Gruppe kommt aus dem LDAP Directory. Diese kann auch gesetzt werden (Ein chown root:bla test2/ funktioniert überhaupt nicht), das bedeutet, dass die Gruppe zumindest ausgelesen werden kann.
Zumindest über getent sehe ich, dass der User auch Mitglied der Gruppe ist, aber ich kann ein 770 Verzeichnis nicht betreten.

Aus /etc/passwd bzw. /etc/group kommt keine Information, darin sind lediglich die Admin und Daemon-Accounts enthalten.

Laut unserem ISP ist die Maschine auf dem neuesten Stand, was patches angeht, wir haben in anderem Zusammenhang auch die Installation aller recommended patches beauftragt (vor ca. einer Woche), diese ist auch abgeschlossen.

Woran kann das liegen?

Claus

[claus]

Es wird interessant:

getent passwd liefert die ldap User nicht.
getent group liefer die ldap Gruppen mit.
getent passwd <ldapuser> liefert den ldap User.

Was kann das sein?

Claus

[claus]

Na super:

http://www.openldap.org/lists/openldap-software/200304/msg00740.html

Keine Antwort dazu, aber genau unser Problem, ausser dass wir bereits memberUid benutzen und die Struktur valide ist.

Claus

[Drusus]

Moin,

beim Debugging wuerde ich empfehlen mal testweise/temporaer den nscd zu deaktivieren (einfach um die Seiteneffekte da auszuschalten):
# svcadm disable -t name-service-cache

Tschau,
  Drusus.

[claus]

Hi Drusus,

danke für den Tip, das ist eine wirklich gute Idee.

In einem OpenSolaris Forum habe ich ein Posting gefunden mit genau derselben Fehlerbeschreibung, da war es wohl ein Bug.
Fliessen OpenSolaris-Änderungen eigentlich in Solaris 10 ein? Ich weiss das alles nicht so genau, da ich mich mit den Versionsnummern nicht wirklich auskenne.

Claus

[Drusus]

Moin Claus,

Aenderungen in OpenSolaris (a.k.a Nevada) fliessen nicht automatisch in Solaris 10 ein (eine Ausnahme machen Fixes, die sicherheitskritisch sind). Wenn du eine Bugnummer hast, so kannst du am "Fixed in" (oder "Commited to fix") sehen in welcher Version der Bug gefixt ist (bzw. gefixt werden soll). Wenn dort ein String mit "snv" anfaengt, so handelt es sich um Solaris Nevada (OpenSolaris) und der Bug wird dann erstmal nur dort gefixt.

Bugfixing in existierenden Solaris Releases wird dadurch angestossen, dass ein Kunde mit Support-Vertrag sich an Sun wendet und einen Fix verlangt. Dann wird zu dem ersten Bug ein zweiter Sub-Bug eroeffnet (erkennt man daran, dass die Bugnummer nicht mit 4... oder 6... sondern mit 2... startet) und dort steht dann in der "Commited to fix" Zeile ein String, der mit s10 (oder s81 fuer Solaris 9 bzwl. s8 fur Solaris anfaengt.

Um welche Bugid geht es hier denn konkret?

Tschau,
  Drusus.

[claus]

Hallo,

es geht um diesen hier: 6508109, zumindest die Beschreibung liest sich genauso. Die möglicherweise notwendige LDAP Änderung konnte ich wegen Wochenende noch nicht durchführen, also den Workaround.

Was für ein Solaris 10 build  auf dem Server ist, weiss ich natürlich auch nicht auswendig.

Der Thread ist: http://www.opensolaris.org/jive/thread.jspa?forumID=119&threadID=21293.

Claus

[Drusus]

Moin,

wenn du auf OpenSolaris oder SunSolve nach der Bugid 6508109 suchst, so wird dir auch die zugehoerige Bugid fuer Solaris 10 angezeigt: 2146367
In der Bug Information zu 2146367 ist dann ein "Fixed in: s10u4_03" zufinden, d.h. der Bug wurde waehrend der Entwicklung von Solaris 10 Update 4 (8/07) in dem Build 03 (d.h. vor der Auslieferung dieser Solaris Release) gefixt.

Der Bugfix ist fuer Solaris 10 mit dem Patch 120011-14 verfuegbar.

Tschau,
  Drusus.

[claus]

Hallo Drusus,

vielen Dank für die Information, der ISP war recht erstaunt über diese Information, weil sie das so schnell nicht gefunden haben.
Ok, der Server hat diesen Patch schon und das Problem hat sich offenbar auch gelöst:
In den Gruppeneinträgen muss einfach folgendes stehen:
memberuid=uid und kein DistinguishedName und auch nicht die uidNumber.

Das löst dieses Problem dann auch, Asche auf mein Haupt fürs nicht exakt RFC lesen.

Claus