înregistrare Logare
Puncte:0
AveryFreeman avatar Server

Active Directory + NFS: De ce uidNumber, gidNumber al utilizatorului de domeniu nu este afișat de comanda `id` în Windows?

drapel in
AveryFreeman

Conectez partajări NFS v3 (seturi de date ZFS) de la un server de fișiere Solaris deținut de utilizatori de domeniu la computere Windows, dar conceptul ar trebui să se aplice practic oricărui server în stil POSIX. Sper să găsesc o modalitate intuitivă de a persista permisiunile pe platforme, care se poate aplica și mai multor utilizatori care folosesc același client.

Serverul Solaris nu recunoaște identitatea utilizatorilor atunci când montează setul de date folosind montură comanda in cmd, în ciuda faptului că seturile de date sunt setate la același utilizator de domeniu prezent pe server, dar identificate folosind AD LDAP uidNumber și gidNumber.

Am vazut o solutie unde uid/gid poate fi setat în registry, permițând partajarea NFS să fie montată în Windows ca o partajare anonimă cu identitatea unui utilizator. Acest lucru nu este doar incomod, ci s-ar aplica doar unui singur utilizator.

Folosisem MSYS2 (de exemplu, „Git Bash”) și am observat id comanda nu arată nimic apropiat de uidNumber/gidNumber s-a instalat ADUCfila de atribute a lui. Sunt conștient că Windows folosește SIDs pentru identificarea utilizatorilor și a dispozitivelor, ceea ce este destul de diferit de sistemul de identificare Unix - dar unde se află MSYS2 primind acest numar de la?

Sper că, aruncând lumină asupra acestui lucru, m-ar putea ajuta să găsesc o modalitate de a seta atributele utilizatorului, astfel încât montură comanda in cmd va transmite identitatea utilizatorilor mei într-un mod pe care serverul meu Solaris îl va înțelege.

Iată un exemplu despre ce vorbesc:

În ADUC, haideți să revizuim uid/gid de Administrator:

Utilizatori și computere Active Directory
---------------------------------------------
    [Meniu] Vizualizare --> Funcții avansate -->
+ [Domeniu] Utilizatori --> Administrator --> Proprietăți -->
  + [Tabs] Editor de atribute -->
+ [Tabele] uidNumber, gidNumber

Număr uid: 2500
gidNumăr: 2512

Ok, atunci hai să verificăm Administratorlui id în MSYS2:

ââ ⶠadministrator de id
uid=1049076(Administrator) gid=1049089(Utilizatori domeniului) grupuri=1049089(Utilizatorii domeniului)

Evident, acestea sunt numere foarte diferite.Nu ar avea mai mult sens pentru Unix-ul utilizatorului uid/gid sa fie aratat?

Unde e MSYS2 obținerea acestor numere ciudate de la și există vreo modalitate de a utiliza codul AD-specific al unui utilizator uid/gid ca identitate în linia de comandă?

279
1 + 0
nfs
Puncte:0
AveryFreeman avatar Server
drapel in
AveryFreeman

Ei bine, a fost ușor - deoarece utilizatorii mei uidNumber și gidNumber erau deja setate, tot ce trebuia să fac a fost să activez maparea identității AD pe client.

Am deschis un prompt de comandă admin, am pornit powershell (ver. 7) și am rulat cmdlet:

PS C:\Windows\System32> Set-NfsMappingStore -EnableADLookup $True -ADDomainName "example.com"

Pentru a confirma, am preluat setările:

PS C:\Windows\System32> Get-NfsMappingStore

UNMServer:
UNMLookupEnabled: False
ADDomain: example.com
ADLookupEnabled: Adevărat
LdapServer:
LdapNamingContext:
LdapLookupEnabled: False
PasswdFileLookupEnabled: False

Acum, momentul adevărului - montarea partajării NFS a utilizatorului (acesta a fost shell-ul cmd la nivel de utilizator în ConEmu):

happyuser@WINSLAVE C:\Users\happyuser
$ mount \solarisbeast\mnt\hallofzmirrors\trough\happyuser\all-pascal-projects n:

Arata bine pana acum, nu sunt necesare setari de identitate (nu ca oricum ar fi posibile cu NFS v3, dar totusi...)

A lăsat niște urme...

happyuser@WINSLAVE N:\
$ echo „acesta este de la winslave” > „test-from-winslave.txt”

Apoi, a verificat identitatea creatorului de fișiere pe server:

admin@solarisbeast:/mnt/hallofzmirrors/trough/happyuser/all-pascal-projects% ls -la
total 88
drwxr-xr-x 6 happyuser DomainUsers 8 Jul 22 22:19 .
drwxr-x--- 35 happyuser DomainUsers 56 Jul 21 11:37 ..
drwxr-xr-x 2 happyuser DomainUsers 3 Jul 21 11:37 .$EXTEND
-rw-r--r-- 1 utilizator fericit DomainUsers 25 Jul 21 13:04 test-from-bloatedwharfrat.txt
-rwxr-xr-x 1 happyuser DomainUsers 25 iulie 22 22:02 test-from-winslave.txt

Arată destul de bine din punct de vedere al identității. Să sperăm că este stabil!

Montarea exporturilor NFS de pe un server Unix în Windows

Actualizare: am menționat-o repede, dar pentru oricine a ratat-o, montarea NFS ar trebui să fie efectuată ca utilizator care deține o cotă într-un cmd neelevat. Acest lucru poate părea neintuitiv pentru oamenii mai familiarizați cu monturile NFS pe sistemele Posix, unde numai root (adică sudo) are permisiunea de a invoca montură comanda.

0 + 2
LeeM avatar
drapel cn
LeeM
Vă sugerez să marcați acest lucru ca răspuns, astfel încât să nu mai apară ca „fără răspuns”. Și ar putea fi de ajutor altora în viitor.
0
Răspunde
AveryFreeman avatar
drapel in
AveryFreeman
Mulțumesc, nu mi-am dat seama că am neglijat să fac asta.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.