Samba-Migration: Servergespeicherte Profile werden nur unvol…

Top Page
Attachments:
Message as email
+ (text/plain)
Delete this message
Reply to this message
Author: Christian Schütz
Date:  
To: Linux User Schwabach
New-Topics: [gelöst] Re: Samba-Migration: Servergespeicherte Profile werden nur unvollständig geladen (nur bei Nicht-Admins)
Subject: Samba-Migration: Servergespeicherte Profile werden nur unvollständig geladen (nurbei Nicht-Admins)
Hallo,

nach der Migration von Samba 2.2.8a auf Samba 3.0.28a mit gleichzeitigem
Umzug auf einen neuen Server werden die servergespeicherten Profile nur
unvollständig geladen, wenn der Clientbenutzer nicht lokale
Administrationsrechte besitzt.
Genauer: Dann ist das Desktoplayout zerschossen, Design ist "old-Style",
manche Programme funktionieren nicht richtig.

Die Profildateien an sich werden jedoch vom Server gelesen und beim
Abmelden auch brav zurückgespeichert.

Für mich deutet vieles darauf hin, dass (möglicherweise aufgrund
Problemen mit der userSID) die ntuser.dat aus dem Profilverzeichnis
nicht korrekt/vollständig eingelesen wird und damit Registryschlüssel in
Win$ nicht richtig gesetzt werden.

Alter Server: SuSE Openexchangeserver 4 mit ldap und Samba 2.2.8a
Neuer Server: Ubuntu hardy (ja, ich weiß...) mit Samba 3.028a (kein ldap)

Bei der Migration:
* Netbiosname ist gleich
* Domänenname ist gleich
* Die uid/gid der User sind *nicht* gleich
* Lokale SID (alt) mittels smbpasswd ausgelesen und auf neuen Server
mittels net setlocalsid übertragen
* Groupmapping der Domaingruppen auf unix-Gruppen (RID 512,513,514) in
Samba3 durchgeführt
* Alle relevanten Datenverzeichnisse und Homes per rsync auf den neuen
Server gezogen und auf neue uid/gid angepasst
* die Profilverzeichnisse haben korrekte uid/gid/Rechte

In den logfiles finde ich folgendes, was auf ein Problem mit den SIDs
hinweist:
log.winbind-idmap:
[2009/04/14 12:29:42, 1] nsswitch/idmap_tdb.c:idmap_tdb_alloc_init(397)
idmap uid range missing or invalid
idmap will be unable to map foreign SIDs

Dem bin ich mal nachgegangen:

Laut bdbedit -Lv auf dem neuen Server hat zum Beispiel der User foo die
(neue) userSID
S-1-5-21-<lokaleSID>-3004

In der (alten) ntuser.dat die SIDs mittels
strings ntuser.dat | grep S-1--5
ermittelt, liefert jedoch
S-1-5-21-<lokaleSID>-2010

sollten die nicht gleich sein?

Ich habe mal mittels
profiles -v -c S-1-5-12-<lokaleSID>-2010 -n S-1-5-21-<lokaleSID>-3004
versucht, die in der ntuser.dat hinterlegte SID zu ändern. Im
Verbose-Mode sehe ich auch Änderungen (Trustee SID --> New Trustee SID).
Es wird eine ntuser.dat.new angelegt, in der nun allerdings die SIDs
S-1-5-21->lokaleSID>-2010 und
S-1-5-21->lokaleSID>-2018
hinterlegt sind?!

Warum nicht ...-3004? Muss ich mich nochmal in das Zusammenspiel SID/RID
vertiefen?

Umkopieren der ntuser.dat.new auf ntuser.dat habe ich allerdings noch
nicht probiert.

Weiterhin habe ich versucht:
* Servergespeichertes Profil löschen/umbenennen, nur lokales (altes)
Profil bereitstellen --> win$ findet überhaupt kein Profil und meldet
mit temporärem Profil an.

So, ich hoffe, ich habe mich einigermaßen verständlich ausgedrückt - und ja:
Die Suchmaschine meiner Wahl liefert Postings von Leuten, die das
gleiche Problem haben, aber keine Lösung!
Z.B.: http://www.administrator.de/index.php?content=80673


cu
orca
-- 
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
        => http://lusc.de/List-Netiquette <=    und
        => http://lusc.de/List-Howto      <=    beachten. Danke!