Benutzerdatenbank aus LDAP
Benutzerdatenbank aus LDAP
Gibt es die Möglichkeit einer bestimmten Gruppe aus einem LDAP Server administrative Rechte zu geben um sich ins OPSI configed interface einzuloggen?
Re: Benutzerdatenbank aus LDAP
von OPSI selber aus nicht - du könntest die Benutzer vom Linux am AD/LDAP authentifizieren das könnte gehen (ohne Gewähr)
-
thomas.besser
- Beiträge: 461
- Registriert: 09 Sep 2009, 09:40
Re: Benutzerdatenbank aus LDAP
du kannst aber gleichlautende Gruppen mit identischer GID für 'pcpatch' (GID 992) bzw. 'opsiadmin' (GID 1002) im LDAP anlegen und diese über pam_ldap auf dem OPSI-Server benutzen.
Das läuft bei mir ohne Probleme.
Gruß
Thomas
Das läuft bei mir ohne Probleme.
Gruß
Thomas
Re: Benutzerdatenbank aus LDAP
Ich habs irgendwie hingekriegt.
Ich habe eine Verbindung zu LDAP hergestellt (Anonym - nur lesen)
dann auf meinem LDAP eine extra Gruppe für opsi-administration angelegt Beispiel "opsi-admins"
dann habe ich in der "etc/opsi/backendManager/acl.conf" die sys_group(opsi-admins); an den passenden stellen hinzugefügt.
hat wunderbar geklappt.
Jetzt brauche ich nur den Benuztern die Gruppe zuzuweisen und schon können Sie auf opsi zugreifen
Ich habe eine Verbindung zu LDAP hergestellt (Anonym - nur lesen)
dann auf meinem LDAP eine extra Gruppe für opsi-administration angelegt Beispiel "opsi-admins"
dann habe ich in der "etc/opsi/backendManager/acl.conf" die sys_group(opsi-admins); an den passenden stellen hinzugefügt.
hat wunderbar geklappt.
Jetzt brauche ich nur den Benuztern die Gruppe zuzuweisen und schon können Sie auf opsi zugreifen
Re: Benutzerdatenbank aus LDAP
das wär doch was fürs WIKI 
fänds richtig klasse wenn du das Dokumentieren könntest und ins WIKI einstellen würdest
Gibt zwar keine eindeutige Sektion dafür aber ich würde wiki/opsi-server_base_installation vorschlagen
fänds richtig klasse wenn du das Dokumentieren könntest und ins WIKI einstellen würdest Gibt zwar keine eindeutige Sektion dafür aber ich würde wiki/opsi-server_base_installation vorschlagen
Re: Benutzerdatenbank aus LDAP
Hi,
Unser System läuft auch über ldap. Unsere Systeme arbeiten über compat,ldap und einer samba-ldap kombination. Es gibt diverse Anleitungen im Netz, wie man das konfiguriert, ist nicht ganz einfach, aber wenn es einmal eingerichtet ist, funktioniert das ganz gut. Man kann heut zu Tage ein Linux-System auch in eine Windows-Domäne hängen (mithilfe von samba), dass ist etwas schwieriger aber haben wir auch schon gemacht.
Möglich ist viel, aber der Weg ist nicht immer einfach.
Grüße
Erol
EDIT: Wenn man sowas macht, sollte man daran denken, dass die Gruppen und User die im LDAP sind aus den lokalen passwd und group Dateien entfernt werden müssen.
Mittlerweile ist die GruppenId nicht mehr so wirklich wichtig. Für die opsi4ucs Kopplung mussten wir diese festen IDs aufweichen.thomas.besser hat geschrieben:du kannst aber gleichlautende Gruppen mit identischer GID für 'pcpatch' (GID 992) bzw. 'opsiadmin' (GID 1002) im LDAP anlegen
Unser System läuft auch über ldap. Unsere Systeme arbeiten über compat,ldap und einer samba-ldap kombination. Es gibt diverse Anleitungen im Netz, wie man das konfiguriert, ist nicht ganz einfach, aber wenn es einmal eingerichtet ist, funktioniert das ganz gut. Man kann heut zu Tage ein Linux-System auch in eine Windows-Domäne hängen (mithilfe von samba), dass ist etwas schwieriger aber haben wir auch schon gemacht.
Möglich ist viel, aber der Weg ist nicht immer einfach.
Grüße
Erol
EDIT: Wenn man sowas macht, sollte man daran denken, dass die Gruppen und User die im LDAP sind aus den lokalen passwd und group Dateien entfernt werden müssen.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
For productive opsi installations we recommend support contracts.
http://www.uib.de