PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Zugriffsrechte LDAP



ThoKre
04.03.04, 16:55
Hallo,

habe folgendes Problem.

Ich habe einen Ordner, den nur eine bestimmte Gruppe lesen und bearbeiten darf. Ich brauch, aber noch für zwei User die Berechtigung auf den Ordner zuzugreifen, die sind aber in anderen Gruppen.

Kann man LDAP Benutzern mehrere Gruppen zuweisen?
Oder kann man den Ordnerbesitzer mit mehreren Gruppen belegen?

Beispiel:
Ordner xyz chown root:gl

Jetzt haben aber wie gesagt nur die Benutzer der Gruppe gl zugriff auf den Ordner.

RichieX
04.03.04, 18:59
Kann man LDAP Benutzern mehrere Gruppen zuweisen?

Jein, du kannst aber die Benutzer in verschiedene Gruppen aufnehmen.



Oder kann man den Ordnerbesitzer mit mehreren Gruppen belegen?

Ich glaube so meine ich das.

Leg doch für die beiden Benutzer eine eigene Gruppe an und ändere die smb.conf


[share]
...
valid users = @gruppederzweiuser
...


RichieX

ThoKre
04.03.04, 19:46
Jo, das klingt ja schonmal ziemlich gut einen Benutzer in mehreren Gruppen anlegen.

Muss ich den Benutzer dann für jede Gruppe neu anlegen, oder kann man das über die vorhandene ldif-Datei noch nachträglich machen.

Wenn ja wie? Hab zwar schon ein bißchen gegoogelt aber nichts gescheites gefunden.

Die andere Variante wäre natürlich:

valid users = @gl user1 user2

ohne das diese in eine andere Gruppe müssen.

Oder geht das so auch nicht?

emba
04.03.04, 22:57
wenn du deine user im ldap speicherst und möchtest, dass ein user noch weiteren gruppen angehören kann, musst du bei der entsprechenden gruppe (außer seiner primären) das attribut

memberUid: 1234

einfügen
1234 steht hier für die UID des users...

dann sollte ein id user die gruppen listen und du kannst via ACL die geschichte verfeinern

voraussetzung ist ein funktionierendes ldap backend, was dem OS ordentlich die user/gruppen gibt

greez



hätte wohl vorher besser lesen sollen:

mamues vorschlag ist hier der angebrachteste, ist ja auch der sinn von ALCs

mamue
04.03.04, 22:58
Gruppen, also posixGroup, kannst Du, wie jeden ldap-Eintrag, mit ldapmodify ändern.
Statt valid users zu verwenden könntest Du auch schauen, ob Dein Dateisystem ACL unterstützt und die Rechte bei dem Verzeichniss so setzen, dass beide Gruppen schreiben dürfen.

mamue

ThoKre
05.03.04, 09:51
Habe das jetzt mal mit dem memberUid probiert, leider funktioniert das nicht so wie es sein soll. Ich sehe zwar jetzt in der Gruppe die memberUid´s, aber wenn ich ein id user mache, steht immer noch nur eine Gruppe beim user.

ThoKre
05.03.04, 10:12
So hat sich erledigt.

Hatte erst bei memberUid die uidnumber des Users also 1234 eingegeben. Das hatte nich funktioniert.

Habe es dann mit dem dem uid also Klarnamen gemacht, und siehe da es funktioniert.

Danke