Separater Adminuser für Clientinstallation

Antworten
Cdn
Beiträge: 171
Registriert: 27 Okt 2013, 19:44

Separater Adminuser für Clientinstallation

Beitrag von Cdn »

Hallo zusammen,

gibt es eine Möglichkeit einen separaten Adminuser anzulegen, der allerdings nur das Recht hat einen neuen Client bei der Installation zu authorisieren?

Beste Grüße

cdn
tb-killa
Beiträge: 76
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitrag von tb-killa »

Hallo auch uns würde diese Thema interessieren, denn wir wollen die User entsprechend trennen.
Benutzeravatar
r.roeder
uib-Team
Beiträge: 540
Registriert: 02 Jul 2008, 10:08

Re: Separater Adminuser für Clientinstallation

Beitrag von r.roeder »

Hallo,

ich habe nicht wirklich verstanden, was die Idee ist.

opsi bietet den "Einmal-Passwort" an, das, nachdem es gesetzt ist, einmal zum Anmelden als Administrator genutzt werden kann, so dass man die Client-Installation autorisieren kann. Ist es das?

Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?

Grüße!
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.


Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
tb-killa
Beiträge: 76
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitrag von tb-killa »

r.roeder hat geschrieben: ..
..
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?

Grüße!
R. Röder
Genau diese "Rolle" meine ich =)
Wir stellen zur Zeit wo es möglich ist auf diese Abstufungen um.
Cdn
Beiträge: 171
Registriert: 27 Okt 2013, 19:44

Re: Separater Adminuser für Clientinstallation

Beitrag von Cdn »

Ja genau um diese Rolle geht es. Aber diese einmal Passwörter finde ich auch Interessant und habe ich noch nicht gesehen. Wo finde ich mehr Informationen darüber?
rat
Beiträge: 264
Registriert: 01 Jan 2015, 12:40

Re: Separater Adminuser für Clientinstallation

Beitrag von rat »

Bild
Cdn
Beiträge: 171
Registriert: 27 Okt 2013, 19:44

Re: Separater Adminuser für Clientinstallation

Beitrag von Cdn »

Ah okay, dann müssen die Clients aber per Hand mit der MAC Adresse angelegt werden. Da wäre der gesuchte extra Zugang schon besser :-)
tb-killa
Beiträge: 76
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitrag von tb-killa »

Hier wurde bereits ebenfalls angefragt viewtopic.php?t=7385

Gibt es denn nicht die Möglichkeit einen User per ACL nur auf den Webservice zu beschränken, sprich Authentifizierung und Registrierung müssten doch reichen oder ???
tb-killa
Beiträge: 76
Registriert: 22 Okt 2017, 16:59

Re: Separater Adminuser für Clientinstallation

Beitrag von tb-killa »

So nachdem ich mal die setup.opsiscript mir angeschaut habe, denke ich einen Möglichen Weg gefunden zu haben:

Folgendes ist meiner Meinung nach wichtig:
Der neue User , wir nennen ihn "InstallationUser" sollte auf jeden Fall in der Gruppe:

Code: Alles auswählen

cat etc/group
.
.
pcpatch:x:992:adminuser,root,InstallationUser
Mitglied sein, um das Netzwerkshare erreichen und entsprechend benutzen zu können (SMB Anmeldung).

Desweiteren habe ich folgende Übersicht an Webservice_calls aus dem setup.opsiscript herausgefunden, welche entsprechend der Methoden in der /etc/opsi/backendManager/acl.conf eingetragen werden müssen (möglicherweise Gruppieren ??) und somit wird der neue User berechtigt:

Code: Alles auswählen

### READ ###

[opsiServiceCall_get_productOnClient_setup_idents]     	
[opsiServiceCall_get_productOnClient_setup_objects]		
[opsiServiceCall_get_productOnClient_once_objects]				
[opsiServiceCall_get_productOnClient_noaction_idents]	
[opsiServiceCall_get_productOnClient_noaction_objects]	
[opsiServiceCall_get_productOnClient_installed_objects]	
[opsiservicecall_getDomain]
[opsiservicecall_getHost_hash]
[opsiservicecall_getClientIds_list]
[opsiservicecall_getServerId]
[opsiservicecall_getOpsiHostKey]
[opsiservicecall_getNetworkConfig_hash]
[opsiservicecall_getInstalledLocalBootProductIds_list]
[opsiservicecall_getDepotshares]
[opsiservicecall_getDepot_properties]
[opsiservicecall_getGeneralConfigValue_depotuser]
[opsiservicecall_getPOC]
[opsiServiceCall_get_productOnClient]
[opsiservicecall_get_configState_switch_installed_products_to_setup]
[opsiservicecall_get_configState_do_not_change_setup_requests]
[opsiservicecall_host_getIdents_for_clientId]


### Write / Access ###

[opsiservicecall_authenticated]
[opsiservicecall_createClient]
[opsiservicecall_userIsAdmin]
[opsiServiceCall_del_productOnClient]					
[opsiServiceCall_del_my_productid]
[opsiServiceCall_set_productOnClient]					
[opsiServiceCall_set_setup]								
[opsiServiceCall_set_once]								
[opsiservicecall_setMacAddress]
[opsiservicecall_setNetbootInstallationStatus]
[opsiservicecall_setPreloginloaderInstallationStatus_off]
[opsiservicecall_setPreloginvistaInstallationStatus_off]
[opsiservicecall_setOpsiclientagentInstallationStatus_unknown]
[opsiservicecall_setOpsiclientagentInstallationStatus_installed]
[opsiservicecall_setOpsiWinstInstallationStatus_installed]
[opsiservicecall_close_session]
[opsiservicecall_setGeneralConfigValue_clientconfig_configserver_url]
[opsiServiceCall_setActionRequest]
[opsiServiceCall_del_wim_capture]
[opsiServiceCall_updatePOC]
[opsiservicecall_setOption_addConfigStateDefaults_true]
Möglicherweise werden für die eigentliche Clientinstallation nicht alle Calls benötigt, eine genaue Analyse hatte ich jetzt nicht durchgeführt.
Antworten