未解決
3 Apprentice
•
1.4K メッセージ
0
23
2025年2月25日 08:08
PowerScaleのTokenとRFC2307に関して
PowerScaleをマルチプロトコルで使う際にWindows端末はADをLinux端末は別のADでRFC2307を使用してユーザ管理を行っております。
現在ユーザ名を同一にすることにより自動でユーザマッピングされるところまでは確認できているのですが、
以下ドキュメントにあるようTokenに関してですが、こちらもユーザのSIDとUIDはマッピングされ1つのTokenに追加されているところまでは確認できました。
しかしLinux側のユーザ(RFC2307管理)でUser001に関しては複数グループに参加しております。
この状態でPowerScale側で「isi auth mapping token --user=***\\user001 --zone=***」を実行した際に
Linux側のグループが表示されない状態が続いております。
また「isi auth mapping token --user=user001 --zone=***」でLinux側のTokenを表示させた場合にもPrimary Groupのみでそれ以外のGroupが表示されない状況となります。
RFC2307をやっているからなのかはわからないのですが、Linux側のGroupをすべてTokenに追加するための条件等ありますでしょうか。
イベントは見つかりませんでした!
Uehara Y.
Community Manager
•
5.3K メッセージ
0
2025年2月26日 07:58
mawataraiさん
同様の環境がつくれていないのでドキュメント確認による返信になってしまうのですが、まず最初に確認したいのは今回問題になっているuser001を利用してSMBアクセスをしているかです。
Active Directoryによる認証が完了してPowerScaleのファイルに該当ユーザがアクセスできて初めてユーザマッピングが動作するように読み取れたので。
(といっても「1つのTokenに追加されているところまでは確認」とおっしゃっているので、これはおそらく問題なさそうですね・・・)
その次に確認したいのは以下コマンドの実行結果にAdditional Groupsとしてuser001が属しているすべてのGroupが表示されるかです。
(表示されないとなるとLDAPの設定に問題がありそう)
isi auth user view --user=user001 --zone=*** --show-groups
もしも表示されないとなると、「isi auth mapping token --user=***\\user001 --zone=***」の結果にプライマリグループを含めた(※)Linux側のグループが表示されないのも仕様通りの動作と判断できそうです。
(※)
引用して頂いた「Default mappings」より
These last two groups are appended to the token from the UNIX LDAP token
The mapping service leaves out the user’s LDAP primary group.
([日本語訳] これら最後の2つのグループは、UNIX LDAPトークンからのトークンに追加されます
マッピングサービスは、ユーザーのLDAPプライマリグループを省略します。)
PowerScale OneFS 9.10.0.0 CLI Administration Guide P.194より
When a PowerScale cluster is connected to Active Directory and LDAP, add the LDAP primary group to the list of supplemental groups. This enables OneFS to honor group permissions on files created over NFS or migrated from other UNIX storage systems.
([日本語訳] PowerScaleクラスターがActive DirectoryおよびLDAPに接続されている場合、LDAPのプライマリグループをsupplemental groupsのリストに追加します。これにより、OneFSはNFS経由で作成されたファイルや他のUNIXストレージシステムから移行されたファイルのグループ権限を尊重することができます。)
King
3 Apprentice
•
1.4K メッセージ
0
2025年3月6日 08:44
@Uehara Y.
こちらよく見たら「Additional Groups: -」となっておりました。
こちらWindowsのGUIからプロパティで見るとちゃんとユーザが参加しているグループはプライマリ以外にもう1つあるのですがどうやらそこの反映がうまく行っていないようです。
こちらAD上の属性エディターでどこに設定を入れれば可能か等情報ありますでしょうか。
現在は以下になっております。
グループ:MemberとMemberUIDに対象のユーザの情報を指定
Uehara Y.
Community Manager
•
5.3K メッセージ
0
2025年3月7日 03:19
LDAPによる認証連携やConfiguring ID mappings in Active Directory Users and Computers for Windows Server 2016 (and subsequent) versionsを見ると、属性エディター(Attribute Editor)タブでgidNumberとuidNumberの設定が必要であるように読みとれるので、まずはこの2つを確認するのはどうでしょうか。
何にしても
isi auth user view --user=user001 --zone=*** --show-groups
isi auth users view --user=***\\user001 --zone=*** --show-groups
の両出力とも正しい設定が反映されるようになればいいはずなので、属性エディター等の設定変更を行った後に上記コマンドを実行して一つ一つ確認していくという泥臭い対応が必要になりそうですね。。
King
3 Apprentice
•
1.4K メッセージ
0
2025年3月11日 01:50
@Uehara Y.
その後検証していて解決しましたので備忘録のためにも記載させていただきます。
私があまりLDAPを理解できていなかったのですが、属性の設定としてはやはりグループのMemberに入っていれば問題なさそうでした。
LDAPの設定(isi auth ldap view ***)として以下を変更することにより解決できました。
Member Lookup Method: Default → rfc2307bis
Group Members Attribute: memberUid → member
※Group Members Attributeに関してはldapsearchでグループを検索した際にユーザが「member: CN=user002,CN=Users,DC=***,DC=com」と登録されていたためMemberに変更が必要そうです。
こちらはどうやらAD(RFC2307)をLDAPとして使用する場合には上記設定変更が必要なようでした。