Separater Adminuser für Clientinstallation
Separater Adminuser für Clientinstallation
Hallo zusammen,
gibt es eine Möglichkeit einen separaten Adminuser anzulegen, der allerdings nur das Recht hat einen neuen Client bei der Installation zu authorisieren?
Beste Grüße
cdn
gibt es eine Möglichkeit einen separaten Adminuser anzulegen, der allerdings nur das Recht hat einen neuen Client bei der Installation zu authorisieren?
Beste Grüße
cdn
Re: Separater Adminuser für Clientinstallation
Hallo auch uns würde diese Thema interessieren, denn wir wollen die User entsprechend trennen.
Re: Separater Adminuser für Clientinstallation
Hallo,
ich habe nicht wirklich verstanden, was die Idee ist.
opsi bietet den "Einmal-Passwort" an, das, nachdem es gesetzt ist, einmal zum Anmelden als Administrator genutzt werden kann, so dass man die Client-Installation autorisieren kann. Ist es das?
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?
Grüße!
R. Röder
ich habe nicht wirklich verstanden, was die Idee ist.
opsi bietet den "Einmal-Passwort" an, das, nachdem es gesetzt ist, einmal zum Anmelden als Administrator genutzt werden kann, so dass man die Client-Installation autorisieren kann. Ist es das?
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?
Grüße!
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Re: Separater Adminuser für Clientinstallation
Genau diese "Rolle" meine ich =)r.roeder hat geschrieben: ..
..
Oder geht es um so etwas wie eine Rolle "Neue-Clients-Admin", mit der grundsätzlich neue Clients angelegt werden können, aber danach nichts mehr geht?
Grüße!
R. Röder
Wir stellen zur Zeit wo es möglich ist auf diese Abstufungen um.
Re: Separater Adminuser für Clientinstallation
Ja genau um diese Rolle geht es. Aber diese einmal Passwörter finde ich auch Interessant und habe ich noch nicht gesehen. Wo finde ich mehr Informationen darüber?
Re: Separater Adminuser für Clientinstallation
Ah okay, dann müssen die Clients aber per Hand mit der MAC Adresse angelegt werden. Da wäre der gesuchte extra Zugang schon besser
Re: Separater Adminuser für Clientinstallation
Hier wurde bereits ebenfalls angefragt viewtopic.php?t=7385
Gibt es denn nicht die Möglichkeit einen User per ACL nur auf den Webservice zu beschränken, sprich Authentifizierung und Registrierung müssten doch reichen oder ???
Gibt es denn nicht die Möglichkeit einen User per ACL nur auf den Webservice zu beschränken, sprich Authentifizierung und Registrierung müssten doch reichen oder ???
Re: Separater Adminuser für Clientinstallation
So nachdem ich mal die setup.opsiscript mir angeschaut habe, denke ich einen Möglichen Weg gefunden zu haben:
Folgendes ist meiner Meinung nach wichtig:
Der neue User , wir nennen ihn "InstallationUser" sollte auf jeden Fall in der Gruppe:
Mitglied sein, um das Netzwerkshare erreichen und entsprechend benutzen zu können (SMB Anmeldung).
Desweiteren habe ich folgende Übersicht an Webservice_calls aus dem setup.opsiscript herausgefunden, welche entsprechend der Methoden in der /etc/opsi/backendManager/acl.conf eingetragen werden müssen (möglicherweise Gruppieren ??) und somit wird der neue User berechtigt:
Möglicherweise werden für die eigentliche Clientinstallation nicht alle Calls benötigt, eine genaue Analyse hatte ich jetzt nicht durchgeführt.
Folgendes ist meiner Meinung nach wichtig:
Der neue User , wir nennen ihn "InstallationUser" sollte auf jeden Fall in der Gruppe:
Code: Alles auswählen
cat etc/group
.
.
pcpatch:x:992:adminuser,root,InstallationUser
Desweiteren habe ich folgende Übersicht an Webservice_calls aus dem setup.opsiscript herausgefunden, welche entsprechend der Methoden in der /etc/opsi/backendManager/acl.conf eingetragen werden müssen (möglicherweise Gruppieren ??) und somit wird der neue User berechtigt:
Code: Alles auswählen
### READ ###
[opsiServiceCall_get_productOnClient_setup_idents]
[opsiServiceCall_get_productOnClient_setup_objects]
[opsiServiceCall_get_productOnClient_once_objects]
[opsiServiceCall_get_productOnClient_noaction_idents]
[opsiServiceCall_get_productOnClient_noaction_objects]
[opsiServiceCall_get_productOnClient_installed_objects]
[opsiservicecall_getDomain]
[opsiservicecall_getHost_hash]
[opsiservicecall_getClientIds_list]
[opsiservicecall_getServerId]
[opsiservicecall_getOpsiHostKey]
[opsiservicecall_getNetworkConfig_hash]
[opsiservicecall_getInstalledLocalBootProductIds_list]
[opsiservicecall_getDepotshares]
[opsiservicecall_getDepot_properties]
[opsiservicecall_getGeneralConfigValue_depotuser]
[opsiservicecall_getPOC]
[opsiServiceCall_get_productOnClient]
[opsiservicecall_get_configState_switch_installed_products_to_setup]
[opsiservicecall_get_configState_do_not_change_setup_requests]
[opsiservicecall_host_getIdents_for_clientId]
### Write / Access ###
[opsiservicecall_authenticated]
[opsiservicecall_createClient]
[opsiservicecall_userIsAdmin]
[opsiServiceCall_del_productOnClient]
[opsiServiceCall_del_my_productid]
[opsiServiceCall_set_productOnClient]
[opsiServiceCall_set_setup]
[opsiServiceCall_set_once]
[opsiservicecall_setMacAddress]
[opsiservicecall_setNetbootInstallationStatus]
[opsiservicecall_setPreloginloaderInstallationStatus_off]
[opsiservicecall_setPreloginvistaInstallationStatus_off]
[opsiservicecall_setOpsiclientagentInstallationStatus_unknown]
[opsiservicecall_setOpsiclientagentInstallationStatus_installed]
[opsiservicecall_setOpsiWinstInstallationStatus_installed]
[opsiservicecall_close_session]
[opsiservicecall_setGeneralConfigValue_clientconfig_configserver_url]
[opsiServiceCall_setActionRequest]
[opsiServiceCall_del_wim_capture]
[opsiServiceCall_updatePOC]
[opsiservicecall_setOption_addConfigStateDefaults_true]