Seite 1 von 1
Separater Adminuser für Clientinstallation
Verfasst: 19 Okt 2017, 15:41
von Cdn
Hallo zusammen,
gibt es eine Möglichkeit einen separaten Adminuser anzulegen, der allerdings nur das Recht hat einen neuen Client bei der Installation zu authorisieren?
Beste Grüße
cdn
Re: Separater Adminuser für Clientinstallation
Verfasst: 22 Okt 2017, 17:03
von tb-killa
Hallo auch uns würde diese Thema interessieren, denn wir wollen die User entsprechend trennen.
Re: Separater Adminuser für Clientinstallation
Verfasst: 22 Okt 2017, 17:49
von r.roeder
Hallo,
ich habe nicht wirklich verstanden, was die Idee ist.
opsi bietet den "Einmal-Passwort" an, das, nachdem es gesetzt ist, einmal zum Anmelden als Administrator genutzt werden kann, so dass man die Client-Installation autorisieren kann. Ist es das?
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?
Grüße!
R. Röder
Re: Separater Adminuser für Clientinstallation
Verfasst: 22 Okt 2017, 17:55
von tb-killa
r.roeder hat geschrieben:
..
..
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?
Grüße!
R. Röder
Genau diese "Rolle" meine ich =)
Wir stellen zur Zeit wo es möglich ist auf diese Abstufungen um.
Re: Separater Adminuser für Clientinstallation
Verfasst: 23 Okt 2017, 08:57
von Cdn
Ja genau um diese Rolle geht es. Aber diese einmal Passwörter finde ich auch Interessant und habe ich noch nicht gesehen. Wo finde ich mehr Informationen darüber?
Re: Separater Adminuser für Clientinstallation
Verfasst: 23 Okt 2017, 09:42
von rat
Re: Separater Adminuser für Clientinstallation
Verfasst: 23 Okt 2017, 09:50
von Cdn
Ah okay, dann müssen die Clients aber per Hand mit der MAC Adresse angelegt werden. Da wäre der gesuchte extra Zugang schon besser
Re: Separater Adminuser für Clientinstallation
Verfasst: 27 Okt 2017, 19:45
von tb-killa
Hier wurde bereits ebenfalls angefragt
viewtopic.php?t=7385
Gibt es denn nicht die Möglichkeit einen User per ACL nur auf den Webservice zu beschränken, sprich Authentifizierung und Registrierung müssten doch reichen oder ???
Re: Separater Adminuser für Clientinstallation
Verfasst: 02 Nov 2017, 18:35
von tb-killa
So nachdem ich mal die setup.opsiscript mir angeschaut habe, denke ich einen Möglichen Weg gefunden zu haben:
Folgendes ist meiner Meinung nach wichtig:
Der neue User , wir nennen ihn "InstallationUser" sollte auf jeden Fall in der Gruppe:
Code: Alles auswählen
cat etc/group
.
.
pcpatch:x:992:adminuser,root,InstallationUser
Mitglied sein, um das Netzwerkshare erreichen und entsprechend benutzen zu können (SMB Anmeldung).
Desweiteren habe ich folgende Übersicht an Webservice_calls aus dem setup.opsiscript herausgefunden, welche entsprechend der Methoden in der /etc/opsi/backendManager/acl.conf eingetragen werden müssen (möglicherweise Gruppieren ??) und somit wird der neue User berechtigt:
Code: Alles auswählen
### READ ###
[opsiServiceCall_get_productOnClient_setup_idents]
[opsiServiceCall_get_productOnClient_setup_objects]
[opsiServiceCall_get_productOnClient_once_objects]
[opsiServiceCall_get_productOnClient_noaction_idents]
[opsiServiceCall_get_productOnClient_noaction_objects]
[opsiServiceCall_get_productOnClient_installed_objects]
[opsiservicecall_getDomain]
[opsiservicecall_getHost_hash]
[opsiservicecall_getClientIds_list]
[opsiservicecall_getServerId]
[opsiservicecall_getOpsiHostKey]
[opsiservicecall_getNetworkConfig_hash]
[opsiservicecall_getInstalledLocalBootProductIds_list]
[opsiservicecall_getDepotshares]
[opsiservicecall_getDepot_properties]
[opsiservicecall_getGeneralConfigValue_depotuser]
[opsiservicecall_getPOC]
[opsiServiceCall_get_productOnClient]
[opsiservicecall_get_configState_switch_installed_products_to_setup]
[opsiservicecall_get_configState_do_not_change_setup_requests]
[opsiservicecall_host_getIdents_for_clientId]
### Write / Access ###
[opsiservicecall_authenticated]
[opsiservicecall_createClient]
[opsiservicecall_userIsAdmin]
[opsiServiceCall_del_productOnClient]
[opsiServiceCall_del_my_productid]
[opsiServiceCall_set_productOnClient]
[opsiServiceCall_set_setup]
[opsiServiceCall_set_once]
[opsiservicecall_setMacAddress]
[opsiservicecall_setNetbootInstallationStatus]
[opsiservicecall_setPreloginloaderInstallationStatus_off]
[opsiservicecall_setPreloginvistaInstallationStatus_off]
[opsiservicecall_setOpsiclientagentInstallationStatus_unknown]
[opsiservicecall_setOpsiclientagentInstallationStatus_installed]
[opsiservicecall_setOpsiWinstInstallationStatus_installed]
[opsiservicecall_close_session]
[opsiservicecall_setGeneralConfigValue_clientconfig_configserver_url]
[opsiServiceCall_setActionRequest]
[opsiServiceCall_del_wim_capture]
[opsiServiceCall_updatePOC]
[opsiservicecall_setOption_addConfigStateDefaults_true]
Möglicherweise werden für die eigentliche Clientinstallation nicht alle Calls benötigt, eine genaue Analyse hatte ich jetzt nicht durchgeführt.