Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 17

Thema: LDAP Gruppen auf lokale Gruppen mappen

  1. #1
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32

    LDAP Gruppen auf lokale Gruppen mappen

    Nehmen wir an, man hat die gesamte Benutzerverwaltung (Linux-homogenes Netzwerk) im LDAP untergebracht. D.h. die Benutzer sind im LDAP, und die Gruppen sind im LDAP.

    Da stellt sich die Frage, ob es möglich ist, die LDAP-Gruppen irgendwie auf lokale Gruppen abzubilden.
    Einfaches Beispiel: Der LDAP-Benutzer Chris soll Mitglied der lokalen Gruppen "admin" und "vboxusers" sein.

    Wie kann das umgesetzt werden?

    Grüße,
    Robert

  2. #2
    Registrierter Benutzer
    Registriert seit
    Aug 2009
    Beiträge
    7
    hi,

    schau dir mal "man net" an, dort kannst du mit net sam lokale gruppen mappen.

  3. #3
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    Hi,
    die net-Befehle beziehen sich auf Samba, was wir nicht verwenden. Sorry falls es nicht klar genug ausgedrückt war, wir verwenden einen Linux LDAP-Server mit Linux Clients. D.h. die LDAP-Gruppen sollen auf die lokalen Linux-Gruppen gemappt werden.

    Ich hab mal probiert, den LDAP-Gruppen dieselben Namen wie den lokalen Gruppen zu geben. Also im LDAP ist z.B. eine Gruppe vboxusers angelegt, die auch lokal in der /etc/group vorhanden ist. Wenn ich jetzt einen LDAP-Benutzer dieser LDAP-Gruppe hinzufüge, scheint es der Client zu schlucken.
    Kann ich das gefahrlos einsetzen, oder ist davon eher abzuraten?

  4. #4
    Registrierter Benutzer
    Registriert seit
    Aug 2009
    Beiträge
    7
    Also meines erachtens ist dies nur möglich wenn du an der Workstation unter der Benutzerverwaltung den Nutzer Chris in die Gruppe lokale Administratoren aufnimmst.
    Dass Clients die Gruppen der Domäne übernehmen können, ist mir nicht bekannt.

  5. #5
    Registrierter Benutzer
    Registriert seit
    Jan 2008
    Beiträge
    2.551
    Vllt. mit Hilfe von pam_ldap lösbar.

  6. #6
    Registrierter Benutzer
    Registriert seit
    Mar 2008
    Beiträge
    116
    da ist das Zauberwort: PAM.

    Kann sein, daß es mit den pluggable authentification modules geht. Ich weiß es nicht mehr genau. Aqualung müsste da mal konkreter werden... oder habe ich da ganz klein... ein vllt??? gelesen? ;-)

    Ich hoffe, ich habe alles verstanden:
    Deine Userdaten sind alle im LDAP, und auch nur dort. Wenn sich die Clients 'eh alle brav am Ldap anmelden, (richtiger: Erst Ihre Identität beziehen), lesen sie auch nicht mehr /etc/passwd oder /etc/group ein. In die Dateien kannst Du sonstwas reinschreiben. Sie werden schlicht (von LDAP) nicht gebraucht .

    Kann ich das gefahrlos einsetzen, oder ist davon eher abzuraten?
    Wenn Du jetzt doch ein Prg hast, daß diese Angaben erwartet, und sich um LDAP einen Dreck schert, kannst Du das ohne Probleme tun, schreib rein, was Du brauchst. Die LDAP Geschichte hat damit nix zu tun.

    Aber Du willst ja die Gruppenzugehörigkeiten der ldap Datenbank in den lokalen Datenbanken /etc/passwd, /etc/group ... gespiegelt haben, oder?

    Da liest Du die Datenbank aus und übergibst die Werte den Progrämmchen usermod oder useradd.

    Da sehe ich kein Problem in der Machbarkeit ....

    Aber wenn man für pam_ldap einen Eintrag schaffen könnte, der das bei jeder userneuanlage automatisch macht, wäre das vllt die kürzeste Lösung. Denn pam ist eh schon im Spiel, denke ich.

    Der allereleganteste Weg wäre es natürlich für diese Software, die eine /etc/passwd erwartet, ein PAM Plugin zu haben. Dann würde diese schweinesoftware sich auch über LDAP die Daten holen können.
    Geändert von Henning14 (08.09.09 um 22:18 Uhr)

  7. #7
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    Prima, mit pam_ldap klappte es! Einfach LDAP über PAM so eingebunden, dass ein getent passwd und getent group die Benutzer bzw. Gruppen aus dem LDAP mit anzeigt (hint: /etc/pam.d/* und /etc/nsswitch.conf).

    In der /etc/passwd sind nur die vom System angelegten user drin (inklusive einem lokalen sudo-user als Fallback, damit ich auch ohne LDAP ins System komme), und in der /etc/group auch nur die lokalen Gruppen.

    Die "richtigen" Benutzer sind alle im LDAP, und falls diese Benutzer auf dem Client bestimmten Gruppen angehören müssen, sind diese speziellen Gruppen mit demselben Namen nochmal im LDAP angelegt.

    Um das nochmal am Ausgangsbeispiel zu verdeutlichen:

    Der Benutzer chris existiert nur im LDAP. Auf den Clients gibt es in der /etc/group die lokale Gruppe vboxusers, da VirtualBox auf den Systemen installiert ist. Damit die Benutzer VirtualBox nutzen können, müssen sie dieser Gruppe hinzugefügt werden. Deshalb ist auch im LDAP eine Gruppe vboxusers angelegt, die als Gruppenmitglied den chris hat (er ist nicht Mitglied in der lokalen vboxusers-Gruppe). Und violà - es funktioniert!

    Habe das in den letzten Tagen mit verschiedenen Programmen getestet, und es haben sich bisher noch keine Probleme ergeben.

    Danke euch für den "Schubser" in die richtige Richtung!

  8. #8
    Registrierter Benutzer
    Registriert seit
    Mar 2008
    Beiträge
    116
    Danke euch für den "Schubser" in die richtige Richtung!
    :-x
    er ist nicht Mitglied in der lokalen vboxusers-Gruppe). Und violà - es funktioniert!
    Naja ;-) ... LDAP ignoriert eben die lokalen Daten.....

    Mich interessierte Dein Thema, da ich der Novell-Schiene genauso verbunden bin, wie der Linux-Schiene.

    Du magst jetzt fragen:
    Was zum Teufel hat LDAP mit Novell zu tun?
    Die Novell-Datenbank namens eDirectory (früher NDS) ist fast identisch mit LDAP. Beide sind hochkompatibel zum X.500 Standard.

    Hier ist ein wesentlicher Grund, warum Novell Suse geschluckt hat: Wenn man Linux mit dem Hilfsmittel PAM ans eDirectory anbinden kann ist Novell Herr im Haus *lach*.

    Ich liebe einfach beide: Novell & Linux. Sie passen gut zusammen. Eine unternehmensweite Datenbank wie die von Novell hat Linux einfach nicht zu bieten. Es dreht sich hier um grosse Netze mit tausenden von Usern. Dann kann Novell, respektive das eDirectory seine Möglichkeiten ausspielen.

    Aber ich werde zu sehr offtopic *lach*

    *duck und wech*

  9. #9
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    <offtopic mode on>
    Kein Problem :-)

    Ich kenne eDirectory zwar nicht persönlich, gehe aber mal davon aus, dass es (zumindest zur Authentifizierung) besser skaliert als Linux+LDAP. Ich für meinen Teil hoffe jedenfalls, dass Linux (in Zusammenspiel mit LDAP) in Zukunft mehr Möglichkeiten zu Gruppenrichtlinien à la Active Directory - sprich Berechtigungen von Benutzern/Benutzergruppen - und eine engere Integration der Triple-A's bietet. Im Moment sind einige sehr interessante Projekte im Entstehen (z.B. FreeIPA von RedHat - leider nicht kompatibel zu OpenLDAP), bin gespannt, wie sich das weiterentwickelt.
    <offtopic mode off>

  10. #10
    Who's Johnny? Avatar von L00NIX
    Registriert seit
    Mar 2004
    Beiträge
    1.229
    Wenn ich das richtig verstehe, möchstest du einen LDAP-Benutzer in lokale Gruppen aufnehmen. Das ist grundsätzlich möglich und benötigt keine Extra-PAM-Module. Die LDAP-Benutzer und Gruppen sollten einen definierten ID-Raum haben, z.B. ab 10000 aufwärts, so dass keine Konflikte mit lokalen Benutzern und Gruppen bestehen (normalerweise ab 500 oder 1000). Außerdem dürfen lokale Benutzer nicht den gleichen Anmeldenamen besitzen.

    Wenn die LDAP-Benutzer mit dem Kommando
    Code:
    # getent passwd
    und die Gruppen mit
    Code:
    # getent group
    angezeigt werden reicht ein einfaches
    Code:
    # usermod -a -G admin,vboxusers ldap-benutzer
    um den Benutzer in die lokale Gruppen admin und vboxusers aufzunehmen. Das wirkt sich ja "nur" auf die lokale /etc/group aus und ist somit kein Problem.

    Die Gruppen "admin" "vboxusers" dürfen natürlich nicht im LDAP auftauchen, sonst gibt es lokal Widersprüche.

    Gruß
    L00NIX

  11. #11
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    Jein - ich will die komplette Benutzerverwaltung im LDAP haben, also auch die Gruppenzugehörigkeit soll über das LDAP verwaltet werden.

    Sprich wenn - um an das obige Beispiel anzuknüpfen - einem bestehenden Benutzer plötzlich Zugriff auf VirtualBox gewährt werden soll (dafür ist die Mitgliedschaft in der Gruppe vboxusers nötig), so wäre es eleganter, könnte der Admin das an einer zentralen Stelle im LDAP machen, anstatt den Benutzer an jedem einzelnen Client in die richtige Gruppe in /etc/group stecken zu müssen.

  12. #12
    Who's Johnny? Avatar von L00NIX
    Registriert seit
    Mar 2004
    Beiträge
    1.229
    Dann lege die LDAP-Gruppe vboxusers an und lösche diese Gruppe in der lokalen /etc/group. Wenn die lokale Gruppe überall die gleiche GID besitzt, musst du nicht mal Dateirechte anfassen.

  13. #13
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    Hm, klingt logisch. Was mache ich aber mit bestehenden Systemgruppen wie plugdev, cdrom oder adm?

  14. #14
    Who's Johnny? Avatar von L00NIX
    Registriert seit
    Mar 2004
    Beiträge
    1.229
    Zitat Zitat von wuesten.fuchs Beitrag anzeigen
    Hm, klingt logisch. Was mache ich aber mit bestehenden Systemgruppen wie plugdev, cdrom oder adm?
    Da diese lokal verwendet werden, solltest du sie einfach mit der gleichen GID im LDAP einrichten, aber die lokalen Gruppen auf jeden Fall bestehen lassen!

    Wenn nur eine Linuxdistribution eingesetzt wird, sollten die GIDs 0-99 auf diesen Systemen identisch sein. Ich lege dafür aber nicht meine Hand ins Feuer...

    Bei Debian-Derivaten werden die GIDs ab 100 dynamisch bei der Installation eines Pakets angelegt, diese unterscheiden sich also je nach Paketzusammenstellung und Reihenfolge der Paketinstallation.

    Das, was du eigentlich für deine Anforderung brauchst, ist sowas wie "Gruppe in Gruppe aufnehmen", wie man es bei Windows machen kann. Schade, dass sowas mit Linux nicht geht bzw. ich wüsste nicht wie...

    Gruß
    L00NIX
    Geändert von L00NIX (20.09.09 um 15:59 Uhr)

  15. #15
    Registrierter Benutzer Avatar von wuesten.fuchs
    Registriert seit
    Jun 2008
    Beiträge
    32
    Zitat Zitat von L00NIX Beitrag anzeigen
    Da diese lokal verwendet werden, solltest du sie einfach mit der gleichen GID im LDAP einrichten, aber die lokalen Gruppen auf jeden Fall bestehen lassen!
    Das war genau die Information, die ich gebraucht habe. Danke!

    Zitat Zitat von L00NIX Beitrag anzeigen
    Wenn nur eine Linuxdistribution eingesetzt wird, sollten die GIDs 0-99 auf diesen Systemen identisch sein. Ich lege dafür aber nicht meine Hand ins Feuer...

    Das, was du eigentlich für deine Anforderung brauchst, ist sowas wie "Gruppe in Gruppe aufnehmen", wie man es bei Windows machen kann. Schade, dass sowas mit Linux nicht geht bzw. ich wüsste nicht wie...
    Jup, genau sowas wäre hilfreich. Weißt du von einer Methode, wie man schon bei der Installation eines Linux-Systems Gruppen bestimmte GIDs zuweisen kann mit dem Ziel, auf allen Nodes einheitliche GIDs zu haben?

Ähnliche Themen

  1. Probleme mit ldap + samba
    Von Tuxist im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 18.03.08, 18:10
  2. LDAP Server kann nicht connecten
    Von WillhelmTell im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 08.02.08, 17:34
  3. debian Etch und OpenLDAP
    Von latzer im Forum System installieren und konfigurieren
    Antworten: 0
    Letzter Beitrag: 17.06.07, 16:42
  4. LDAP-Anmeldung geht nicht
    Von magic_halli im Forum Linux als Server
    Antworten: 16
    Letzter Beitrag: 01.12.06, 12:20
  5. Apache startet nach RAM-Austausch nicht mehr.
    Von joedl im Forum Linux als Server
    Antworten: 6
    Letzter Beitrag: 12.02.05, 19:07

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •