Separater Adminuser für Clientinstallation

Cdn
Beiträge: 154
Registriert: 27 Okt 2013, 19:44

Separater Adminuser für Clientinstallation

Beitragvon Cdn » 19 Okt 2017, 15:41

Hallo zusammen,

gibt es eine Möglichkeit einen separaten Adminuser anzulegen, der allerdings nur das Recht hat einen neuen Client bei der Installation zu authorisieren?

Beste Grüße

cdn

tb-killa
Beiträge: 67
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitragvon tb-killa » 22 Okt 2017, 17:03

Hallo auch uns würde diese Thema interessieren, denn wir wollen die User entsprechend trennen.

Benutzeravatar
r.roeder
uib-Team
Beiträge: 477
Registriert: 02 Jul 2008, 10:08

Re: Separater Adminuser für Clientinstallation

Beitragvon r.roeder » 22 Okt 2017, 17:49

Hallo,

ich habe nicht wirklich verstanden, was die Idee ist.

opsi bietet den "Einmal-Passwort" an, das, nachdem es gesetzt ist, einmal zum Anmelden als Administrator genutzt werden kann, so dass man die Client-Installation autorisieren kann. Ist es das?

Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?

Grüße!
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.


Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.

tb-killa
Beiträge: 67
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitragvon tb-killa » 22 Okt 2017, 17:55

r.roeder hat geschrieben:..
..
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?

Grüße!
R. Röder


Genau diese "Rolle" meine ich =)
Wir stellen zur Zeit wo es möglich ist auf diese Abstufungen um.

Cdn
Beiträge: 154
Registriert: 27 Okt 2013, 19:44

Re: Separater Adminuser für Clientinstallation

Beitragvon Cdn » 23 Okt 2017, 08:57

Ja genau um diese Rolle geht es. Aber diese einmal Passwörter finde ich auch Interessant und habe ich noch nicht gesehen. Wo finde ich mehr Informationen darüber?

rat
Beiträge: 264
Registriert: 01 Jan 2015, 12:40

Re: Separater Adminuser für Clientinstallation

Beitragvon rat » 23 Okt 2017, 09:42

Bild

Cdn
Beiträge: 154
Registriert: 27 Okt 2013, 19:44

Re: Separater Adminuser für Clientinstallation

Beitragvon Cdn » 23 Okt 2017, 09:50

Ah okay, dann müssen die Clients aber per Hand mit der MAC Adresse angelegt werden. Da wäre der gesuchte extra Zugang schon besser :-)

tb-killa
Beiträge: 67
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitragvon tb-killa » 27 Okt 2017, 19:45

Hier wurde bereits ebenfalls angefragt https://forum.opsi.org/viewtopic.php?t=7385

Gibt es denn nicht die Möglichkeit einen User per ACL nur auf den Webservice zu beschränken, sprich Authentifizierung und Registrierung müssten doch reichen oder ???

tb-killa
Beiträge: 67
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitragvon tb-killa » 02 Nov 2017, 18:35

So nachdem ich mal die setup.opsiscript mir angeschaut habe, denke ich einen Möglichen Weg gefunden zu haben:

Folgendes ist meiner Meinung nach wichtig:
Der neue User , wir nennen ihn "InstallationUser" sollte auf jeden Fall in der Gruppe:

Code: Alles auswählen

cat etc/group
.
.
pcpatch:x:992:adminuser,root,InstallationUser


Mitglied sein, um das Netzwerkshare erreichen und entsprechend benutzen zu können (SMB Anmeldung).

Desweiteren habe ich folgende Übersicht an Webservice_calls aus dem setup.opsiscript herausgefunden, welche entsprechend der Methoden in der /etc/opsi/backendManager/acl.conf eingetragen werden müssen (möglicherweise Gruppieren ??) und somit wird der neue User berechtigt:

Code: Alles auswählen

### READ ###

[opsiServiceCall_get_productOnClient_setup_idents]        
[opsiServiceCall_get_productOnClient_setup_objects]      
[opsiServiceCall_get_productOnClient_once_objects]            
[opsiServiceCall_get_productOnClient_noaction_idents]   
[opsiServiceCall_get_productOnClient_noaction_objects]   
[opsiServiceCall_get_productOnClient_installed_objects]   
[opsiservicecall_getDomain]
[opsiservicecall_getHost_hash]
[opsiservicecall_getClientIds_list]
[opsiservicecall_getServerId]
[opsiservicecall_getOpsiHostKey]
[opsiservicecall_getNetworkConfig_hash]
[opsiservicecall_getInstalledLocalBootProductIds_list]
[opsiservicecall_getDepotshares]
[opsiservicecall_getDepot_properties]
[opsiservicecall_getGeneralConfigValue_depotuser]
[opsiservicecall_getPOC]
[opsiServiceCall_get_productOnClient]
[opsiservicecall_get_configState_switch_installed_products_to_setup]
[opsiservicecall_get_configState_do_not_change_setup_requests]
[opsiservicecall_host_getIdents_for_clientId]


### Write / Access ###

[opsiservicecall_authenticated]
[opsiservicecall_createClient]
[opsiservicecall_userIsAdmin]
[opsiServiceCall_del_productOnClient]               
[opsiServiceCall_del_my_productid]
[opsiServiceCall_set_productOnClient]               
[opsiServiceCall_set_setup]                        
[opsiServiceCall_set_once]                        
[opsiservicecall_setMacAddress]
[opsiservicecall_setNetbootInstallationStatus]
[opsiservicecall_setPreloginloaderInstallationStatus_off]
[opsiservicecall_setPreloginvistaInstallationStatus_off]
[opsiservicecall_setOpsiclientagentInstallationStatus_unknown]
[opsiservicecall_setOpsiclientagentInstallationStatus_installed]
[opsiservicecall_setOpsiWinstInstallationStatus_installed]
[opsiservicecall_close_session]
[opsiservicecall_setGeneralConfigValue_clientconfig_configserver_url]
[opsiServiceCall_setActionRequest]
[opsiServiceCall_del_wim_capture]
[opsiServiceCall_updatePOC]
[opsiservicecall_setOption_addConfigStateDefaults_true]


Möglicherweise werden für die eigentliche Clientinstallation nicht alle Calls benötigt, eine genaue Analyse hatte ich jetzt nicht durchgeführt.