Hallo Zusammen,
ich hätte mal eine Frage zu Abschnitten in der opsiclientd.conf :
1. ist es normal das der run_as_user in der Sektion action_processor auf "SYSTEM" steht?
2. sollte dort nicht ein Domänen-Benutzer mit Adminrechten stehen? Was ist BestPractice SYSTEM oder ein andere User?
3. Wo kann ich die Doku über die Schalter in der Datei finden? im Speziellen create_user, create_environment, delete_user
Danke im Vorraus
Sven
opsiclientd.conf / run_as_user
Re: opsiclientd.conf / run_as_user
Hi,
In diesem (default) fall wird der opsi-winst unter nt5 als temporärer user pcpatch (mit adminrechten) ausgeführt und unter nt6 als user SYSTEM.
Wenn das event_user_login (mit action_type =login) ausgeführt wird, so wird hier auch unter nt5 mit SYSTEM Rechten gearbeitet.
Das ist notwendig, damit bei ausführen von 'UserLoginScripten' (opsi User ProfileManagement Erweiterung) der winst ein impersonate zum sich gerade einloggenden user machen kann also in dessen Kontext arbeitet.
führt aber evtl. bei anderen die bisher immer funktioniert haben, zu neuen Problemen.
Also: In produktiv Umgebungen empfehlen wir 'Finger weg'.
Wir arbeiten statt dessen an der Möglichkeit im opsi-winst gezielt für bestimmte Aktionen einen Temporären user (admin) ohne reboot ein- und wieder ausloggen zu können. Das ist aber noch nicht fertig - kommt aber mit der opsi-winst Version 4.11.3.
gruss
d.oertel
Nein. Normalerweise steht run_as_user da gar nicht.1. ist es normal das der run_as_user in der Sektion action_processor auf "SYSTEM" steht?
In diesem (default) fall wird der opsi-winst unter nt5 als temporärer user pcpatch (mit adminrechten) ausgeführt und unter nt6 als user SYSTEM.
Wenn das event_user_login (mit action_type =login) ausgeführt wird, so wird hier auch unter nt5 mit SYSTEM Rechten gearbeitet.
Das ist notwendig, damit bei ausführen von 'UserLoginScripten' (opsi User ProfileManagement Erweiterung) der winst ein impersonate zum sich gerade einloggenden user machen kann also in dessen Kontext arbeitet.
Bets Practice ist das der Eintrag nicht vorhanden ist (siehe oben).2. sollte dort nicht ein Domänen-Benutzer mit Adminrechten stehen? Was ist BestPractice SYSTEM oder ein andere User?
Nirgendwo, da diese Schalter experimentell sind. Die Verwendung dieser Schalter kann zwar evtl. Probleme mit bestimmten Scripten lösen,3. Wo kann ich die Doku über die Schalter in der Datei finden? im Speziellen create_user, create_environment, delete_user
führt aber evtl. bei anderen die bisher immer funktioniert haben, zu neuen Problemen.
Also: In produktiv Umgebungen empfehlen wir 'Finger weg'.
Wir arbeiten statt dessen an der Möglichkeit im opsi-winst gezielt für bestimmte Aktionen einen Temporären user (admin) ohne reboot ein- und wieder ausloggen zu können. Das ist aber noch nicht fertig - kommt aber mit der opsi-winst Version 4.11.3.
gruss
d.oertel
Vielen Dank für die Nutzung von opsi. Im Forum ist unser Support begrenzt.
Für den professionellen Einsatz und individuelle Beratung empfehlen wir einen Support-Vertrag und eine Schulung.
Gerne informieren wir Sie zu unserem Angebot.
uib GmbH
Telefon: +49 6131 27561 0
E-Mail: sales@uib.de
Re: opsiclientd.conf / run_as_user
Ist das schon soweit?Das ist aber noch nicht fertig - kommt aber mit der opsi-winst Version 4.11.3
Re: opsiclientd.conf / run_as_user
mhhh das wäre wirklich ne coole Funktion, aber da man seit 2012 nix mehr davon gehört hat, gehe ich davon aus das es da irgendwie Probleme gab?
Re: opsiclientd.conf / run_as_user
Ich stehe ebenfalls an der gleichen Stelle und bin auf das "run_as_user = SYSTEM" flag gestossen.
In meinem Fall muss der daemon client auch mit adminrechten durchlaufen und nicht als system user. Sind die Flags zur Editierung immer noch im "experimental" status oder hat sich seit 2012 hier etwas getan?
Oder konkret: Wie muss ich "run_as_user = *" editieren, um, zumindest experimentiell den client mit adminrechten laufen zu lassen... Gibt man der config dort ein Passwort mit (was allerdings zweifelsohne relativ unsicher wäre...)
Danke!
In meinem Fall muss der daemon client auch mit adminrechten durchlaufen und nicht als system user. Sind die Flags zur Editierung immer noch im "experimental" status oder hat sich seit 2012 hier etwas getan?
Oder konkret: Wie muss ich "run_as_user = *" editieren, um, zumindest experimentiell den client mit adminrechten laufen zu lassen... Gibt man der config dort ein Passwort mit (was allerdings zweifelsohne relativ unsicher wäre...)
Danke!
-
n.wenselowski
- Ex-uib-Team
- Beiträge: 3194
- Registriert: 04 Apr 2013, 12:15
Re: opsiclientd.conf / run_as_user
Hallo,
ich würde mal in der winst-Doku nach RunElevated schauen - eventuell löst das eure Probleme schon.
Gruß
Niko
ich würde mal in der winst-Doku nach RunElevated schauen - eventuell löst das eure Probleme schon.
Gruß
Niko
Code: Alles auswählen
import OPSI