Seite 1 von 1
opsiclientd.conf / run_as_user
Verfasst: 12 Jan 2012, 18:13
von deeply
Hallo Zusammen,
ich hätte mal eine Frage zu Abschnitten in der opsiclientd.conf :
1. ist es normal das der run_as_user in der Sektion action_processor auf "SYSTEM" steht?
2. sollte dort nicht ein Domänen-Benutzer mit Adminrechten stehen? Was ist BestPractice SYSTEM oder ein andere User?
3. Wo kann ich die Doku über die Schalter in der Datei finden? im Speziellen create_user, create_environment, delete_user
Danke im Vorraus
Sven
Re: opsiclientd.conf / run_as_user
Verfasst: 13 Jan 2012, 10:33
von d.oertel
Hi,
1. ist es normal das der run_as_user in der Sektion action_processor auf "SYSTEM" steht?
Nein. Normalerweise steht run_as_user da gar nicht.
In diesem (default) fall wird der opsi-winst unter nt5 als temporärer user pcpatch (mit adminrechten) ausgeführt und unter nt6 als user SYSTEM.
Wenn das event_user_login (mit action_type =login) ausgeführt wird, so wird hier auch unter nt5 mit SYSTEM Rechten gearbeitet.
Das ist notwendig, damit bei ausführen von 'UserLoginScripten' (opsi User ProfileManagement Erweiterung) der winst ein impersonate zum sich gerade einloggenden user machen kann also in dessen Kontext arbeitet.
2. sollte dort nicht ein Domänen-Benutzer mit Adminrechten stehen? Was ist BestPractice SYSTEM oder ein andere User?
Bets Practice ist das der Eintrag nicht vorhanden ist (siehe oben).
3. Wo kann ich die Doku über die Schalter in der Datei finden? im Speziellen create_user, create_environment, delete_user
Nirgendwo, da diese Schalter experimentell sind. Die Verwendung dieser Schalter kann zwar evtl. Probleme mit bestimmten Scripten lösen,
führt aber evtl. bei anderen die bisher immer funktioniert haben, zu neuen Problemen.
Also: In produktiv Umgebungen empfehlen wir 'Finger weg'.
Wir arbeiten statt dessen an der Möglichkeit im opsi-winst gezielt für bestimmte Aktionen einen Temporären user (admin) ohne reboot ein- und wieder ausloggen zu können. Das ist aber noch nicht fertig - kommt aber mit der opsi-winst Version 4.11.3.
gruss
d.oertel
Re: opsiclientd.conf / run_as_user
Verfasst: 01 Sep 2015, 15:40
von islam
Das ist aber noch nicht fertig - kommt aber mit der opsi-winst Version 4.11.3
Ist das schon soweit?
Re: opsiclientd.conf / run_as_user
Verfasst: 02 Sep 2015, 20:19
von tobias
mhhh das wäre wirklich ne coole Funktion, aber da man seit 2012 nix mehr davon gehört hat, gehe ich davon aus das es da irgendwie Probleme gab?
Re: opsiclientd.conf / run_as_user
Verfasst: 03 Sep 2015, 16:27
von Simon09
Ich stehe ebenfalls an der gleichen Stelle und bin auf das "run_as_user = SYSTEM" flag gestossen.
In meinem Fall muss der daemon client auch mit adminrechten durchlaufen und nicht als system user. Sind die Flags zur Editierung immer noch im "experimental" status oder hat sich seit 2012 hier etwas getan?
Oder konkret: Wie muss ich "run_as_user = *" editieren, um, zumindest experimentiell den client mit adminrechten laufen zu lassen... Gibt man der config dort ein Passwort mit (was allerdings zweifelsohne relativ unsicher wäre...)
Danke!
Re: opsiclientd.conf / run_as_user
Verfasst: 04 Sep 2015, 12:44
von n.wenselowski
Hallo,
ich würde mal in der winst-Doku nach RunElevated schauen - eventuell löst das eure Probleme schon.
Gruß
Niko