Benutzerdatenbank aus LDAP
Verfasst: 10 Okt 2012, 16:08
Gibt es die Möglichkeit einer bestimmten Gruppe aus einem LDAP Server administrative Rechte zu geben um sich ins OPSI configed interface einzuloggen? 
Seite 1 von 1
Re: Benutzerdatenbank aus LDAP
Verfasst: 10 Okt 2012, 16:21
von OPSI selber aus nicht - du könntest die Benutzer vom Linux am AD/LDAP authentifizieren das könnte gehen (ohne Gewähr)
Re: Benutzerdatenbank aus LDAP
Verfasst: 10 Okt 2012, 16:48
du kannst aber gleichlautende Gruppen mit identischer GID für 'pcpatch' (GID 992) bzw. 'opsiadmin' (GID 1002) im LDAP anlegen und diese über pam_ldap auf dem OPSI-Server benutzen.
Das läuft bei mir ohne Probleme.
Gruß
Thomas
Das läuft bei mir ohne Probleme.
Gruß
Thomas
Re: Benutzerdatenbank aus LDAP
Verfasst: 10 Okt 2012, 21:13
Ich habs irgendwie hingekriegt.
Ich habe eine Verbindung zu LDAP hergestellt (Anonym - nur lesen)
dann auf meinem LDAP eine extra Gruppe für opsi-administration angelegt Beispiel "opsi-admins"
dann habe ich in der "etc/opsi/backendManager/acl.conf" die sys_group(opsi-admins); an den passenden stellen hinzugefügt.
hat wunderbar geklappt.
Jetzt brauche ich nur den Benuztern die Gruppe zuzuweisen und schon können Sie auf opsi zugreifen
Ich habe eine Verbindung zu LDAP hergestellt (Anonym - nur lesen)
dann auf meinem LDAP eine extra Gruppe für opsi-administration angelegt Beispiel "opsi-admins"
dann habe ich in der "etc/opsi/backendManager/acl.conf" die sys_group(opsi-admins); an den passenden stellen hinzugefügt.
hat wunderbar geklappt.
Jetzt brauche ich nur den Benuztern die Gruppe zuzuweisen und schon können Sie auf opsi zugreifen
Re: Benutzerdatenbank aus LDAP
Verfasst: 10 Okt 2012, 21:18
das wär doch was fürs WIKI 
fänds richtig klasse wenn du das Dokumentieren könntest und ins WIKI einstellen würdest
Gibt zwar keine eindeutige Sektion dafür aber ich würde wiki/opsi-server_base_installation vorschlagen
fänds richtig klasse wenn du das Dokumentieren könntest und ins WIKI einstellen würdest Gibt zwar keine eindeutige Sektion dafür aber ich würde wiki/opsi-server_base_installation vorschlagen
Re: Benutzerdatenbank aus LDAP
Verfasst: 11 Okt 2012, 10:56
Hi,
Unser System läuft auch über ldap. Unsere Systeme arbeiten über compat,ldap und einer samba-ldap kombination. Es gibt diverse Anleitungen im Netz, wie man das konfiguriert, ist nicht ganz einfach, aber wenn es einmal eingerichtet ist, funktioniert das ganz gut. Man kann heut zu Tage ein Linux-System auch in eine Windows-Domäne hängen (mithilfe von samba), dass ist etwas schwieriger aber haben wir auch schon gemacht.
Möglich ist viel, aber der Weg ist nicht immer einfach.
Grüße
Erol
EDIT: Wenn man sowas macht, sollte man daran denken, dass die Gruppen und User die im LDAP sind aus den lokalen passwd und group Dateien entfernt werden müssen.
Mittlerweile ist die GruppenId nicht mehr so wirklich wichtig. Für die opsi4ucs Kopplung mussten wir diese festen IDs aufweichen.thomas.besser hat geschrieben:du kannst aber gleichlautende Gruppen mit identischer GID für 'pcpatch' (GID 992) bzw. 'opsiadmin' (GID 1002) im LDAP anlegen
Unser System läuft auch über ldap. Unsere Systeme arbeiten über compat,ldap und einer samba-ldap kombination. Es gibt diverse Anleitungen im Netz, wie man das konfiguriert, ist nicht ganz einfach, aber wenn es einmal eingerichtet ist, funktioniert das ganz gut. Man kann heut zu Tage ein Linux-System auch in eine Windows-Domäne hängen (mithilfe von samba), dass ist etwas schwieriger aber haben wir auch schon gemacht.
Möglich ist viel, aber der Weg ist nicht immer einfach.
Grüße
Erol
EDIT: Wenn man sowas macht, sollte man daran denken, dass die Gruppen und User die im LDAP sind aus den lokalen passwd und group Dateien entfernt werden müssen.