Vor einiger Zeit haben die Unix-Server Gesellschaft bekommen – von einem Windows-Server für den Firmen-Exchange. Natürlich möchte man für alle Server einen gemeinsamen Single Sign On erreichen, damit man sich nicht noch mehr Passwörter merken muss.
Leider haben Unix und Windows zwei verschiedene Konzepte zur Verwaltung der Benutzer. Linux verwendet Benutzer IDs (z.B. 0 für root) während Windows SIDs verwendet (z.B. S-1-5-21-7623811015-3361044348-030300820-1013). Prinzipiell gibt es zwei Wege, diese verschiedenen Konzepte zusammen zu bringen:
- Man erweitert das Active Directory so, dass dort die von Linux benötigten IDs hinterlegt werden
- Man ordnet die Windows SIDs den Linux IDs zu und merkt sich dies an geeigneter Stelle.
Meine Anforderungen sind vergleichsweise einfach:
- Keine Änderung am Active Directory
- Umsetzung muss mit Ubuntu 12.04 LTS Bordmitteln möglich sein
- Zuordnung muss auf mehreren Rechnern gleich funktionieren
Die ersten beiden Anforderungen sind der Wartbarkeit geschuldet. Ich habe wenig Zeit, daher möchte ich einmal das Problem lösen und diese Lösung dann bis zum Ende des Supports von Ubuntu 12.04 LTS nutzen. Die letzte Anforderung ergibt sich daraus, dass Freigaben über NFS erfolgen sollen und hierfür auf allen Rechnern die gleichen Nutzer-IDs verwendet werden müssen.
Die übliche Lösung für dieses Problem ist das rid Backend in Samba zum Erzeugen der ID-SID Zuordnungen zu verwenden (Schlüsselwort idmap). Vereinfacht gesprochen, wird die Linux-ID dabei nicht in einer Datenbank gespeichert, sondern direkt aus der SID errechnet und ist dadurch auch auf mehreren Rechnern gleich. Dummerweise funktioniert dies mit Samba 3.6 bzw. Samba 4 aufgrund eines Bugs nicht richtig (Bug 8676).
Ich muss gestehen, dass mich dieser Bug ziemlich verärgert. Die Meldung stammt aus dem Dezember 2011 und enthält sogar konkrete Hinweise darauf, durch welche Änderung der Fehler vermutlich verursacht wird. Trotzdem ist seitdem (August 2013) immer noch keine Lösung in Sicht. Gerade bei einer Distribution mit dem Fokus auf Server und langem Support hätte ich erwartet, dass solche Show Stopper nicht auftreten. Mal sehen, wie ich diese Klippe umschiffen kann…