Tags:
create new tag
, view all tags

Posix Gruppen im Active Directory

fehlende Namenskonventionen

  • POSIX definiert ein sog. «portable character set», welches für Usernamen und Gruppennamen Verwendung finden soll
  • POSIX definiert keinen Standard, wie gültige Usernamen und Gruppennamen aussehen sollen
  • Variable NAME_REGEX prüft, ob ein Username / Gruppenname gültig ist
  • NAME_REGEX ist von Unix zu Unix anders defniert
  • Debian's NAME_REGEX lautet: /^[_.A-Za-z0-9][-\@_.A-Za-z0-9]*\$?$/
  • Sehr strikte Regelung: /^\w(?:\w*(?:[.-]\w+)?)*(?<=^.{4,32})$/ aus diesem Artikel (a-z, 0-9 und _ gelten als Word-Character, das Minuszeichen hingegen nicht)
  • noch restriktiver ist Shadow: [_a-z][-0-9_a-z]*\$? (wie oben, aber ohne Punkte)
  • Punkte im Usernamen oder Gruppennamen können zu Problemen führen wie dieser Artikel ausführt

Probleme mit der aktuellen Lösung

  • Gruppennamen erscheinen im AD mit dem Gruppennamen, gefolgt von einem Leerzeichen und dem Gruppentyp in Klammern
  • Beispiele: 00077 (LZ), id-api-cd-lnx (ISG)
  • Leerzeichen und Klammern führen bei diversen Softwarepaketen zu Problemen

Lösungsansätze

  • bei den selbstdefinierten Gruppen soll auf Wunsch der Name in eine möglichst kompatible Form umgewandelt werden
  • [x] kompatibler AD-Gruppename erstellen
  • Gruppentyp statt in Klammern hinter ein _ Zeichen stellen
  • Beispiele
    • id-api-cd-lnx_isg
    • 00077_lz
  • Leerzeichen generell durch Underscores ersetzen
  • Umlaute äöü durch ae, ue, oe ersetzen
  • é, à, ñ etc. durch e, a, n ersetzen

Vorgehen

  • Szenario 1: Gruppen verdoppeln
  • beim Erstellen des Usernamens Generierung der UUID
  • Synchronisation der UUID
  • UUID bearbeiten rausnehmen
  • UUID ändern im LDAPS und DB
  • konforme Gruppe erzeugen
  • Änderung möglich
  • Gruppenberechtigte anschreiben, dass neue Gruppen anders benannt werden
  • ISG-Gruppen auf einen Schlag umbenennen
  • (ISG) ersetzen durch _ISG

-- SwenVermeul - 2011-05-26

Topic revision: r3 - 2011-06-01 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback