Tags:
create new tag
, view all tags

User Private Groups

Ausgangslage

Es besteht eine Notwendigkeit, dass User in Unix-Systemen mit einer Primary Group ID ausgestattet werden. Diese Gruppe ist in LDAPS seit mehreren Jahren auf die «dummy» groupID = 60001 oder 60002 gesetzt. Seit einigen Jahren hat sich in fast allen Linux-Distributionen jedoch die Praxis durchgesetzt, bei jedem neu angelegten User auch gleichzeitig eine entsprechende Usergruppe anzulegen, damit nicht jedes neu geschriebene File von der ganzen Gemeinschaft gelesen werden kann, bloss weil man vergessen hat, für den Ordner das set_gid zu setzen (neue Files bekommen automatisch die Gruppenzugehörigkeit, wie sie bei dem Ordner selber gesetzt worden ist).

Glossar

  • uidNumber, auch UUID genannt. POSIX-Attribut, ist bei einem posixAccount der Primary Key
  • gidNumber POSIX-Attribut, repräsentiert in einem posixAccount dessen primäre Gruppenzugehörigkeit. Dieses Attribut kommt sowohl im AD als auch im LDAPS vor. In einer posixGruppe ist die gidNumber der Primary Key.
  • primaryGroupID entspricht im AD der primären Gruppe eines Users. Hat bei neuen AD-Usern immer den Wert 513 (Domain Users). Diese Zahl ist Teil der SID des Domain Users Gruppenobjekts.
  • User Private Group Ist eine Gruppe, welche nur ein einziges Mitglied aufweist. Dieses Mitglied lässt sich direkt vom Namen der Gruppe ( username-group) ableiten.
  • User_Private_Group_ID ist der Primary Key dieser privaten Gruppe

Neuerungen

  • in der nethz DB
    • DONE neues Attribut User_Private_Group_ID in der Tabelle UNAME
    • DONE dieses Attribut wird automatisch mit einem neuen Wert der Sequenz SEQ_GID gefüllt. Die gidNumber dieser Gruppe ist unabhängig von der UUID.
    • DONE neues Attribut Primary_GID_Number in der Tabelle UNAME
    • DONE bei neuen Usern wird automatisch das Attribut Primary_GID_Number auf den Wert von User_Private_Group_ID gesetzt
  • LDAPS
    • DONE neu angelegte und bestehende Userobjekte im LDAPS generieren gleichzeitig auch eine neue Gruppe (Namenskonvention: username-group) in der OU ou=private,ou=groups,ou=nethz,ou=id,ou=auth,o=ethz,c=ch
    • Alle Userobjekte, welche gidNumber = 60001 oder 60002 haben, werden so angepasst, so dass diese der User_Private_Group_ID entspricht
    • DONE zu löschende Userobjekte im LDAPS löschen auch die entsprechende Private Gruppe
  • Active Directory
    • DONE eine Änderung der primaryGroup (Admin-Tool MOVED TO... Mailbox) auf «Domain Users»
      • setzt im AD die primaryGroupID auf 513 zurück und die gidNumber auf 1029
      • setzt im LDAPS die gidNumber auf den Wert von User_Private_Group_ID

Caveats

  • im Active Directory bleibt vorerst alles beim alten
  • es gibt eine Diskrepanz zwischen AD und LDAPS
    • die Gruppe «Domain Users» (gidNumber 1029) existiert im LDAPS nicht
    • wenn im AD bei einem User die primary Group auf «Domain Users» gesetzt wird, dann wird im LDAPS die gidNumber wieder auf des Users User Private Group ID gesetzt (und nicht 1029).
  • das Konzept der primären Gruppe existiert im Active Directory zur Zeit noch nicht. Ideen sind willkommen.

-- SwenVermeul - 2015-04-13

Topic revision: r3 - 2015-04-17 - mpetit
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback