ich bin an einem Punkt, wo ich momentan nicht wirklich weiter komme. Wir möchten bei uns in der Firma einen sogenannten "Installations-User" für OPSI einrichten, der lediglich dafür zuständig ist, Clients zum Opsi-Server hinzuzufügen (bspw. wenn diese über PXE starten, und man wählt manuell das opsi-boot-image aus). Der User soll nicht auf den opsi configuration editor zugreifen können und nicht auf die Konsole.
Letzteres ist einfach gelöst mit einem /bin/false (Der User hat ein normales Unix- und Samba-Passwort). Ersteres ist allerdings ein wenig problematischer. Versucht habe ich folgendes:
- Installationsuser in Gruppe "pcpatch" hinzugefügt, aber nicht in "opsiadmin" (da er ja nicht auf den Webservice zugreifen soll).
--> Funktioniert leider nicht. Wenn ich mit dem zu installierenden PC in PXE boote und das opsi-boot-image auswähle, darf ich Namen, IP etc. noch alles eintragen, und werde dann nach dem Admin-Zugang gefragt. Es scheitert ab hier.
- Installationsuser in Gruppe "opsiadmin" aber nicht in "pcpatch"
--> Funktioniert leider, soll aber ja nicht so klappen, da er ja jetzt auch auf den opsi configuration editor zugreifen kann.
Dann kam ich auf die "acl.conf". Sicherlich kann man dies hierüber regeln. Entweder mit der Methode, dass alle außer der Installationsuser auf den opsi-configuration-editor zugreifen dürfen, oder dass der Installationsuser das explizite Recht bekommt, Clients hinzufügen zu dürfen.
Ich wäre hier also um Hilfe dankbar, was ich in die acl.conf eintragen kann, da mein Wissen diesbezüglich nicht ausreicht, und ich nicht weiß, welche Methoden ich dort wie eintragen muss. Herzlichen Dank schon einmal im Vorraus
