User-Rechte und -IDs synchron "umbiegen"

[Lirion]

Moin.

Ich hoffe jetztmal, halbwegs das richtige Forum erwischt zu haben, anonsten sorry und die Bitte an einen Mod, das einfach dann zu verschieben.

Folgendes Problem stellt sich mir gerade:
Ich habe soeben einen LDAP-Server eingerichtet. Nun gilt es, alle Rechner in ihren User-Verzeichnissen etc. zu synchronisieren.

Konkret bedeutet das: Bisher wurde einfach das "Neuer User? useradd und fertig"-Prinzip angewendet, also jeder neue Nutzer bekam die nächsten freien IDs im 1000er-Bereich. Das gibt Genickschüsse, sofern man sich per LDAP an einem Rechner anmeldet.
Den Usern neue IDs zu geben, ist ja nun nicht so das Problem, usermod -u, usermod -g und groupmod -g tun da alles Nötige. Nur werden danach die Zugriffsrechte nicht mehr stimmen.
Ich habe das eben mal testweise mit einem Benutzer hier gemacht. ~ des Users hatte anschließend zwar die richtige User-ID, jedoch die falsche Gruppen-ID (da man die Gruppe erst anlegen muß, und dann dem User die neue Gruppe verpassen).

Wie gehe ich das Ganze nun an? Ziel ist es, jedem User auf jedem Rechner uniforme IDs zu verpassen, so daß er wie bisher auf seine Dateien zugreifen kann, auch wenn er per LDAP angemeldet ist.
chmod -R allein wird's nicht tun, da absolut nicht immer die Gruppen-ID gleich der User-ID ist und hier auch ein zwei verzeichnisse Usern gehören, die bestimmte Dienste befriedigen (also nicht für realexistente Personen gedacht sind sondern für Datentransfers u.ä.).

Vielleicht sehe ich grad den Wald vor lauter Bäumen nicht, aber mir fällt da gerade keine horrend umfangreiche Lösung ein.

Danke schonmal für die Hilfe! (und für's Lesen des vielen Textes )

[mragucci]

Moin.
Den Usern neue IDs zu geben, ist ja nun nicht so das Problem, usermod -u, usermod -g und groupmod -g tun da alles Nötige. Nur werden danach die Zugriffsrechte nicht mehr stimmen.

Du hast einen LDAP Server, der UID und GID im Userobjekt speichert und änderst dann die UID und GID der lokalen User?
Völlig unnötig, sofern Du LDAP richtig eingerichtet hast und die Userobjekte okay sind müssten diese bereits UID und GID besitzen. Die lokalen User und Gruppen musst Du nun löschen, das Homeverzeichnis muss logischerweise erhalten bleiben.

Ich habe das eben mal testweise mit einem Benutzer hier gemacht. ~ des Users hatte anschließend zwar die richtige User-ID, jedoch die falsche Gruppen-ID (da man die Gruppe erst anlegen muß, und dann dem User die neue Gruppe verpassen).

Da muss natürlich die Useranlage im LDAP entsprechend vorgenommen werden...

chmod -R allein wird's nicht tun, da absolut nicht immer die Gruppen-ID gleich der User-ID ist und hier auch ein zwei verzeichnisse Usern gehören, die bestimmte Dienste befriedigen (also nicht für realexistente Personen gedacht sind sondern für Datentransfers u.ä.).

Doch, genau so wird es gemacht. Wenn Du alles richtig eingerichtet - und die lokalen User und Gruppen gelöscht hast - funktioniert ein chmod -R ldapusername:ldapgruppenname problemlos.

Viel Erfolg

[Lirion]

Unsere Lösung sieht vor, daß sich Leute auf Workstations über LDAP und lokal anmelden können. Für den Fall daß der LDAP mal ausfällt (oder die Internetanbindung, das trifft auf alle Locations minus eins zu).
Zudem: Ich würde gerne eine gewisse hm... "Datenbanklogik" in meinen Nutzern haben.
Sprich: Der und der Nutzer kommt aus dieser Verwaltungseinheit - UID fängt mit 11 an. Etc. Ein weiter willkürlich gewähltes Schema um die bisher existenten User zu befriedigen, die zudem auch noch andere numerische GIDs als UIDs haben... näh.

Insofern schätze ich, daß ein "Gleichschalten" die beste Lösung ist. Oder?

Doch, genau so wird es gemacht. Wenn Du alles richtig eingerichtet - und die lokalen User und Gruppen gelöscht hast - funktioniert ein chmod -R ldapusername:ldapgruppenname problemlos.

So? Und was ist mit folgender Verzeichnisstruktur?

Code: Alles auswählen

drwxr-xr-x   1 benutzer benutzer          4096 2008-06-02 10:18  verzeichnis1
drwxr-xr-x   1 benutzer apache-user    4096 2008-06-02 10:18  verzeichnis2
...

Vereinfacht gesprochen.
Soll ich da ein chown -R :gruppe drüberlaufen lassen...?
Ich bin echt gerade versucht, mir irgendwie ein Script zu basteln, was eben von jeder einzelnen Datei wenigstens die GID speichert. Mir läuft die Zeit weg und was einfacheres scheint's nicht zu geben ^^


edit:
Hab mich verlesen, du sprichst von chMOD.
Darum geht's nicht, es geht darum, die IDs anzupassen, also chOWN. Es sei denn, du hast das gemeint (und dich vertippt), dann stimmt der obere Post bis zum Edit *grins*

[Cologne4711]

Hallo,

Unsere Lösung sieht vor, daß sich Leute auf Workstations über LDAP und lokal anmelden können.

Und wofür brauchst Du dann den LDAP !?

Der LDAP soll ja eigentlich als zentrale Verwaltungsstelle dienen. Wenn die Benutzer sowieso alle noch lokal eingepflegt werden müssen, kannst Du doch auf den LDAP auch ganz verzichten.
Dann mache Dir einfach ne Tabelle oder Datei und trag dort alle Benutzer und Gruppen ein.

MfG

[Lirion]

Aus dem einfachen grund: Rechner sollen auch funktionieren, wenn der LDAP weg ist. Steht übrigens in dem Post über deinem. -.-

[Cologne4711]

Und wofür brauchst Du dann den LDAP !?

Aus dem einfachen grund: Rechner sollen auch funktionieren, wenn der LDAP weg ist.

[Lirion]

- Zentrale Datenbank
- Schnellere Einrichtung von Nutzern
- Dauerhafte Nutzer lassen sich dann immer noch auf Maschinen nachtragen
- ein root kann sich z.B. zentral überall einloggen und ein PW gilt für überall
etc

Gut, ganz ohne Hand und Fuß ist dein Argument nicht, aber naja. Ist die derzeitige Vorgehensweise hier. *shrug*
Können wir bitte zum Thema zurück? Rein theoretisch hätte ich den LDAP nicht mal erwähnen müssen für die Fragestellung... ^^

[mragucci]

Hab mich verlesen, du sprichst von chMOD.
Darum geht's nicht, es geht darum, die IDs anzupassen, also chOWN. Es sei denn, du hast das gemeint (und dich vertippt), dann stimmt der obere Post bis zum Edit *grins*

Ja, hab mich verschrieben, war ja schon spät

Ich weiß nicht wie groß Deine Netze so sind, normalerweise würde ich in diesem Fall in jedes Netz einen LDAP Server stellen und diese dann periodisch mit dem Master synchronisieren lassen. Wenn das für die Größe Deines Netzes aber overkill ist würde ich folgenden Weg gehen:
- LDAP Server einrichten, UIDs und GIDs werden dort vergeben
- Script/Programm schreiben, das notwendige Daten aus dem LDAP Server ausliest und die passwd/group/shadow Dateien erstellt.
- Diese Dateien periodisch auf die Clients spielen

[Lirion]

Sobald alles mal steht, kein Ding.
Aber die derzeitige Umänderung der IDs, um mal alles uniform zu haben, ist das Problem. Sobald das mal geschafft ist...

Scheint wohl auch nur per Script zu gehen. Ich setz mich heute abend mal an so'n Ding an.


/edit
lol... hab gerade die -gid - Option von find gefunden... ich glaube das Ganze wird doch nichtso umfangreich