0 votos

AmandaZ avatar

Vincular grupos secundarios a Active Directory con extensiones Unix

Preguntado el 23 de Agosto, 2014
Cuando se hizo la pregunta
1318 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Estoy ejecutando Windows Server 2012 R2 con Active Directory y extensiones Unix. Tengo varios hosts linux/bsd ya conectados al dominio vía ldap y mapeando los grupos uid/gid/secundarios correctamente.

Estoy corriendo algunas mac's en 10.9 y 10.10 beta, estoy tratando de averiguar si es posible asignar IDs de grupo secundario a la AD UnixGID y no el GID que AD crea

por ejemplo, si ejecuto id mikedevita en una caja de linux me da esto:

% id mikedevita                                                                                                                                                         
uid=40001(mikedevita) gid=30000(Domain Users) groups=30001(Domain   Admins),30002(VMWareAdmins)
,30003(VPNUsers),30004(LinuxUsers),30005(media),30006(LinuxAdmins),30000(Domain Users)

si ejecuto el mismo comando id mikedevita en mi mac da esto:

base% id mikedevita
uid=40001(mikedevita) gid=30000 groups=30000,701(com.apple.sharepoint.group.2),519395259(DEVITA\media),693256891(DEVITA\MacAdmins),703(com.apple.sharepoint.group.4),501(access_bpf),599473300(DEVITA\VPNUsers),613468898(DEVITA\VMWareAdmins),12(everyone),62(netaccounts),79(_appserverusr),80(admin),81(_appserveradm),1446817776(DEVITA\Domain Admins),401(com.apple.sharepoint.group.1),1873589173(DEVITA\RouterAdmins),416683223(DEVITA\Denied RODC Password Replication Group),206(com.apple.access_loginwindow),702(com.apple.sharepoint.group.3),33(_appstore),98(_lpadmin),100(_lpoperator),204(_developer),398(com.apple.access_screensharing),399(com.apple.access_ssh)

como puede ver, los campos uid, y gid están mapeados correctamente (40001, 30000) pero todos los grupos de nivel de dominio a los que el usuario pertenece como grupos secundarios no utilizan el ID de grupo correcto.

¿Hay alguna forma de reajustar esto?

Preguntado el 23 de Agosto, 2014 por AmandaZ

Respuestas

¿Demasiados anuncios?

1voto

Nate avatar
Nate Puntos 220

Parece que tienes asignado el atributo gid de los registros de usuario, pero no el gid de los registros de grupo. Puedes comprobarlo desde la línea de comandos con dsconfigad :

$ sudo dsconfigad -show
[...]
Advanced Options - Mappings
  Mapping UID to attribute       = uidNumber
  Mapping user GID to attribute  = gidNumber
  Mapping group GID to attribute = gidNumber
  Generate Kerberos authority    = Enabled
[...]

Fíjate en el "Mapping group GID to attribute = gidNumber" -- eso es lo que creo que te falta. Puedes establecerlo desde la línea de comandos con sudo dsconfigad -ggid gidNumber En el caso de que el sistema no sea el más adecuado, se puede utilizar el programa GUI /System/Library/CoreServices/Directory Utility.app (haga clic en el candado para autenticarse como administrador, haga doble clic en el conector de Active Directory, haga clic en el triángulo para "Mostrar opciones avanzadas", haga clic en la pestaña Mappings, luego active "Map group HID to attribute" y ajústelo a "gidNumber").

Respondido el 24 de Agosto, 2014 por Nate (220 Puntos )

0voto

francisaugusto avatar
francisaugusto Puntos 101

Me parece que cuando no se asigna explícitamente el atributo gidNumber, se asigna el PrimaryGroupID a gid. Por eso se obtienen números diferentes.

Respondido el 13 de Junio, 2019 por francisaugusto (101 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X