Hallo zusammen,
ich bin an einem Punkt, wo ich momentan nicht wirklich weiter komme. Wir möchten bei uns in der Firma einen sogenannten "Installations-User" für OPSI einrichten, der lediglich dafür zuständig ist, Clients zum Opsi-Server hinzuzufügen (bspw. wenn diese über PXE starten, und man wählt manuell das opsi-boot-image aus). Der User soll nicht auf den opsi configuration editor zugreifen können und nicht auf die Konsole.
Letzteres ist einfach gelöst mit einem /bin/false (Der User hat ein normales Unix- und Samba-Passwort). Ersteres ist allerdings ein wenig problematischer. Versucht habe ich folgendes:
- Installationsuser in Gruppe "pcpatch" hinzugefügt, aber nicht in "opsiadmin" (da er ja nicht auf den Webservice zugreifen soll).
--> Funktioniert leider nicht. Wenn ich mit dem zu installierenden PC in PXE boote und das opsi-boot-image auswähle, darf ich Namen, IP etc. noch alles eintragen, und werde dann nach dem Admin-Zugang gefragt. Es scheitert ab hier.
- Installationsuser in Gruppe "opsiadmin" aber nicht in "pcpatch"
--> Funktioniert leider, soll aber ja nicht so klappen, da er ja jetzt auch auf den opsi configuration editor zugreifen kann.
Dann kam ich auf die "acl.conf". Sicherlich kann man dies hierüber regeln. Entweder mit der Methode, dass alle außer der Installationsuser auf den opsi-configuration-editor zugreifen dürfen, oder dass der Installationsuser das explizite Recht bekommt, Clients hinzufügen zu dürfen.
Ich wäre hier also um Hilfe dankbar, was ich in die acl.conf eintragen kann, da mein Wissen diesbezüglich nicht ausreicht, und ich nicht weiß, welche Methoden ich dort wie eintragen muss. Herzlichen Dank schon einmal im Vorraus
Zugriff auf Webservice einschränken
- n.wenselowski
- Ex-uib-Team
- Beiträge: 3194
- Registriert: 04 Apr 2013, 12:15
Re: Zugriff auf Webservice einschränken
Hallo,
Wenn sowas keine regelmäßig Aufgabe ist, würde ich die Rechner samt MAC in opsi anlegen und dann mit dem Einmalpasswort arbeiten.
Komfortable Variante des Anlegens ist vermutlich mittels opsi-deploy-client-agent und einer Datei, in welcher die entsprechenden Hosts hinterlegt sind.
Wenn es immer wieder getan werden soll, würde ich den Loglevel des opsiconfd hochschrauben und dann mit einem anhand der Logs analysieren welche Methoden aufgerufen werden.
Gruß
Niko
Wie oft wird sowas gemacht? Einmal für alle Rechner oder wird sowas immer wieder vorkommen?FloSchu hat geschrieben:Wir möchten bei uns in der Firma einen sogenannten "Installations-User" für OPSI einrichten, der lediglich dafür zuständig ist, Clients zum Opsi-Server hinzuzufügen (bspw. wenn diese über PXE starten, und man wählt manuell das opsi-boot-image aus). Der User soll nicht auf den opsi configuration editor zugreifen können und nicht auf die Konsole.
Wenn sowas keine regelmäßig Aufgabe ist, würde ich die Rechner samt MAC in opsi anlegen und dann mit dem Einmalpasswort arbeiten.
Komfortable Variante des Anlegens ist vermutlich mittels opsi-deploy-client-agent und einer Datei, in welcher die entsprechenden Hosts hinterlegt sind.
Wenn es immer wieder getan werden soll, würde ich den Loglevel des opsiconfd hochschrauben und dann mit einem anhand der Logs analysieren welche Methoden aufgerufen werden.
Gruß
Niko
Code: Alles auswählen
import OPSI