Übernahme von AD-Attributen in Opsi

Antworten
LordLinux
Beiträge: 4
Registriert: 20 Apr 2015, 14:30

Übernahme von AD-Attributen in Opsi

Beitrag von LordLinux »

Guten Tag,

ich habe Opsi jetzt ca. 3 Wochen lang getestet und habe noch ein paar Fragen, ich hoffe ihr könnt mir da weiter helfen.
Also dann:

1. Ist es möglich das Active Directory mit Opsi zu verbinden, um z.B. AD Attribute wie Kostenstelle, Beschreibung etc. aus dem AD zu importieren?
2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
3. Gibt es eine One-Click Neuinstallationslösung, sprich alle bereits installierten Softwarepakete und das Betriebssystem sollen mit einem Mausklick neu installiert werden
4. Gibt es eine Möglichkeit mit einem Skript herauszufinden, welcher Benutzer gerade an einem Client angemeldet ist?
5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)

Ich bedanke mich schon mal im Voraus für eure Mühen!
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Übernahme von AD-Attributen in Opsi

Beitrag von thomas.besser »

zu 1.: kann ja mit LDAP ausgelesen werden, ergo sollte machbar sein
zu 2.: hat OPSI noch nicht, ist aber relativ einfach mit Shellskripte zu realisieren
zu 3.: 'setup' des netboot-Produktes (z.B. win7-x64) und fertig, alle installierten Produkte werden wieder installiert
zu 4.: k.A.
zu 5.: gibt es noch nicht
holgerv
Beiträge: 288
Registriert: 20 Aug 2012, 09:35

Re: Übernahme von AD-Attributen in Opsi

Beitrag von holgerv »

LordLinux hat geschrieben:2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
Warum "sich mit einem Benutzer anmelden"?
LordLinux hat geschrieben:5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)
Das sieht opsi leider (noch) nicht vor. Ich habe für einige (wenige) Aufgaben Shellskripte gebaut, die eingeschränkte Admins mit "sudo" aufrufen dürfen. Das ist nicht wirklich elegant, aber es funktioniert.

Schönen Gruß


Holger
Hom
Beiträge: 45
Registriert: 13 Mai 2013, 12:39

Re: Übernahme von AD-Attributen in Opsi

Beitrag von Hom »

1. ka wir halten stricke Trennung von OPSI und Domäne.
2. Lässt sich mit dem OPSI Package Builder per Zeitplaner einstellen. Dazu braucht der Server bestimmte Anforderungen und das Netz/Clients WakeOnLan "Fähigkeit". Aber wie holgerv schreibt, warum Anmeldung eines Benutzers?
3. wie LordLinux
4. Kein Script aber im OPSi Configed kann man sich die Session Informationen anzeigen lassen. Vorher aber mit den eventuellen Datenschutz/Betriebsrat absprechen.
5. Im Configed mir auch nicht bekannt, bei der Serveradminstration schon. So kann man Installation von Paketen / Updateeinspielung nur auf dem Sever von gewünschten Admins machen lassen.

Grüße
Hom
adlerweb
Beiträge: 28
Registriert: 09 Jul 2008, 10:33
Kontaktdaten:

Re: Übernahme von AD-Attributen in Opsi

Beitrag von adlerweb »

LordLinux hat geschrieben:2. Ist eine zeitgesteuerte Installation mit Opsi möglich? Z.B. 18:00 Uhr sind viele PCs aus. Diese sollen dann automatisch starten, sich mit einem Benutzer anmelden, das Softwarepaket installieren und automatisch wieder herunterfahren
Ich nutze (da diverse Subnetze und entsprechend WOL nur schwer möglich) den BIOS-RTC. Bei den Business-Kisten lassen sich solche BIOS-Einstellungen per WMI steuern, also auch über OPSI ausrollen.
dkoch
Beiträge: 309
Registriert: 25 Nov 2011, 14:03

Re: Übernahme von AD-Attributen in Opsi

Beitrag von dkoch »

holgerv hat geschrieben:
LordLinux hat geschrieben:5. Gibt es eine Möglichkeit eine rollenbasierte Administration einzurichten, z.B. Administratoren an einem anderen Standort sollen eingeschränkte Rechte in Opsi bekommen (z.B. nur Installation, oder only read Rechte?)
Das sieht opsi leider (noch) nicht vor. Ich habe für einige (wenige) Aufgaben Shellskripte gebaut, die eingeschränkte Admins mit "sudo" aufrufen dürfen. Das ist nicht wirklich elegant, aber es funktioniert.
Das ist so nicht ganz richtig. Dazu Dient /etc/opsi/backendManager/acl.conf. Wir haben read only Benutzer. Um das umzusetzen ist aber ein tieferes Verständnis von OPSI nötig.

Code: Alles auswählen

backend_.*             : all
hostControl_showPopup  : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver
hostControl.*          : sys_group(opsiadmin); opsi_depotserver
host_updateObjects     : sys_group(opsiadmin); opsi_depotserver; opsi_client; self
config_updateObjects   : sys_group(opsiadmin); opsi_depotserver; opsi_client; self
host_get.*             : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; self; opsi_client(attributes(!opsiHostKey,!description,!lastSeen,!notes,!hardwareAddress,!inventoryNumber))
auditSoftware_delete.* : sys_group(opsiadmin); opsi_depotserver
auditSoftware_.*       : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
auditHardware_delete.* : sys_group(opsiadmin); opsi_depotserver
auditHardware_.*       : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
getConfigs.*           : sys_group(opsiadmin); opsi_depotserver; self; opsi_client
.*_get.*               : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; opsi_client
set.*                  : sys_group(opsiadmin); opsi_depotserver; self
product.*              : sys_group(opsiadmin); opsi_depotserver; self
.*                     : sys_group(opsiadmin); sys_group(opsi); opsi_depotserver; self
Mitglieder der Gruppe opsiadmin für alles. Mitglieder der gruppe opsi nur "lesen".
Allerdings darf in diesem konkreten Fall ein Mitglied der Gruppe opsi ebenfalls eine popup nachricht versenden.

Für die es noch nicht kennen: Die acl.conf definiert wer welche methoden ausführen darf. Das ganze geht auch als regex

Code: Alles auswählen

.*_get.* : sys_group(getters) # Mitglieder der gruppe getters dürfen alle methoden benutzen die das wort "get" enthalten
LordLinux
Beiträge: 4
Registriert: 20 Apr 2015, 14:30

Re: Übernahme von AD-Attributen in Opsi

Beitrag von LordLinux »

Warum "sich mit einem Benutzer anmelden"?
Warum genau das nötig ist, kann ich gerade nicht beantworten. Unser bisheriges Client Management bietet die Möglichkeit Software mit automatischem Login zu installieren. Heißt: Rechner fährt hoch, Client Management meldet einmalig einen Benuzter an, installiert die Software, fährt herunter. Vielleicht benötigen einige Programme einen einmaligen Login?!

Aber danke für die bisherigen Antworten.

Da sind mir gleich zwei weitere eingefallen:

Installiert Opsi eigentlich direkt mit Systemkennung?
Ich frage desshalb, weil unser bisheriges Client Management System die Installationsmöglichkeit: Installieren mit Systemkennung bietet, aus folgendem Hintergrund:
Es ist zu beachten, dass die Windows Kennung „LocalSystem“ einigen von Microsoft dokumentierten Einschränkungen unterliegt und sich Paketinstallationen durch Verwendung dieser Option anders verhalten können.
Andere Frage: Kann ich mir ein Treiberdepot für die Windowsinstallation erstellen, in dem sich alle Treiber für alle PC und NB Modelle befinden?

Also kann ich alle Treiber /var/lib/opsi/depot/win7/drivers/drivers dort einfügen und Opsi sucht sich die passenden Treiber für die zu installierende Maschine aus, das würde mir natürlich viel Aufwand ersparen.
dkoch
Beiträge: 309
Registriert: 25 Nov 2011, 14:03

Re: Übernahme von AD-Attributen in Opsi

Beitrag von dkoch »

Auf viele deiner Fragen wirst du eine Antwort haben sobald du die Handbücher gelesen hast
Antworten