PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Windows-User in die Root-Gruppe aufnehmen



gnoovy
02.04.10, 22:30
hi leutz,

habe fedora 12 als windows-member in eine W2k8R2-Domäne aufgenommen. Mittels kerberos, samba, winbind und pam kann ich mich auch mit den windows-usern an dem linuxrechner anmelden. Allerdings würde ich gerne den Domänen-Administratoren auch Vollzugriff auf den Linuxrechner geben. Wie kann ich die Administratoren von Windows in die Root-Gruppe von Linux aufnehmen oder diesen halt alle Rechte auf dem Linuxrechner geben?

HBtux
02.04.10, 22:37
Suche mal nach den folgenden Stichworten...
- usermap bzw. user mapping
- groupmap bzw. groupmapping

gnoovy
02.04.10, 22:42
hab ich schon gemacht. finde aber nur möglichkeiten unixgruppen nach windowsgruppen zu mappen... also alla net groupmap... aber leider nicht umgekehrt

oziris
02.04.10, 22:44
Das klingt irgendwie nicht so toll.
Ich bin zwar kein Sysadmin, aber ich denke, das sollte man besser über die wheel-Gruppe und sudo oder su lösen.
Wenn eine Person (hier ein Administrator) bei Anmeldung auf einem Linux-System gleich root-Rechte hat, dann unterminiert das die Sicherheit gewaltig. Benutzer sollten sich zunächst ohne root-Rechte anmelden und dann, bei Bedarf, nur für einzelne Befehle oder Wartungsaufgaben root-Rechte bekommen bzw. root werden.

gnoovy
02.04.10, 22:51
das ist prinzipiell richtig. aber der linuxrechner ist ja jetzt ein Mitglied einer Windows-Domäne. Möchte nur, dass wenn sich windows-administratoren mal an dem linuxrechner anmelden diese auch volle rechte haben. wenn sich normale domänenbenutzer anmelden sollen diese natürlich weiterhin eingeschränkte rechte haben... Windows-admins haben ja auch auf allen Windows-rechnern vollzugriff

HBtux
02.04.10, 23:16
Windows-admins haben ja auch auf allen Windows-rechnern vollzugriff
Wobei dies ein genau der falsche Ansatz ist.
Warum muss ich immer gleich überall Admin-Rechte haben...
Sicherlich bequemlichkeit.

Typisch Win-Admin.
Am Morgen einmal als Administrator am PC angemeldet und den ganzen Tag durch wird kein Passwort mehr abgefragt......!!! :eek:

Ich stelle mir gerade vor, dass der Win-Admin sich einmal im im Jahr mit einem gewissen Spieltrieb am Linux anmeldet..... (und dann zufällig mit Admin-Rechten)

TheDarkRose
02.04.10, 23:18
das ist prinzipiell richtig. aber der linuxrechner ist ja jetzt ein Mitglied einer Windows-Domäne. Möchte nur, dass wenn sich windows-administratoren mal an dem linuxrechner anmelden diese auch volle rechte haben. das kannst du eh mithilfe von sudo erreichen. admins brauchen nicht so faul sein und können ruhig ein zweites mal das passwort eingeben.

oziris
02.04.10, 23:24
aber der linuxrechner ist ja jetzt ein Mitglied einer Windows-Domäne.Bedeutet das, er soll jetzt auch genauso unsicher, wie seine Domänen-Nachbarn werden?
Möchte nur, dass wenn sich windows-administratoren mal an dem linuxrechner anmelden diese auch volle rechte haben.Dann können die aber nichtmal einen Webbrowser starten, ohne das System stark zu gefährden.

wenn sich normale domänenbenutzer anmelden sollen diese natürlich weiterhin eingeschränkte rechte haben...Habe ich mir schon gedacht, aber haben alle Admins auch "normale domänenbenutzer" Accounts, die sie nutzen können, wenn sie an dem Rechner mal eine Datei aus dem Netz herunterladen oder etwas "googeln" wollen?
Windows-admins haben ja auch auf allen Windows-rechnern vollzugriffBedeutet das, dass eine Schwachstelle auf allen anderen Rechner auch eine auf diesem sein soll?

gnoovy
02.04.10, 23:38
was hat das mit Unsicherheit zu tun nur weil der linuxrechner in einer windows-domäne ist? Das ist unlogisch und zeugt auch eher von wenig Kompetenz. Wenn ich mich mit dem domänenadministrator anmelde dann nur weil ich den linuxrechner auch administrieren will und nicht um auf irgendwelchen Websites rumzusurfen... Normale Domänenbenutzer sollen wie schon erwähnt weiterhin eingeschränkte Rechte behalten zum surfen, arbeiten, etc....
Mit dem Root-Account melde ich mich ja auch nur an wenn ich was administrieren will.
Und das mit der Schwachstelle tut hier nichts zur sache und ist ebenfalls unlogisch.

oziris
02.04.10, 23:41
Also haben alle Admins nun auch "normale domänenbenutzer" Accounts oder nicht?

TheDarkRose
02.04.10, 23:44
Man meldet sich auf Linux generell nicht mit dem root-Account an. Dafür gibt es sudo oder su! Und so sollte es auch laufen wenn ein Win-Admin sich auf dem Linux Rechner anmeldet, ist er zuerst ein normaler Benutzer und kann mithilfe von sudo oder su erweiterte Berechtigunen erlangen. Dazu muss der Nutzer einfach in die sudo Gruppe.

Windows hat da einfach ein falsches Konzept.

gnoovy
02.04.10, 23:47
wenn sie arbeiten klar, aber wenn etwas administriert werden soll, möchte ich mich mit nem admin-account anmelden. Normalerweise füge ich ja in der datei /etc/group weitere User der Admingruppe oder anderen Gruppen zu. nur wenn ich hier den administrator hier eintrage, klappt das nicht.

oziris
02.04.10, 23:48
Zum Teil gibt es das Konzept ja auch in Windows (Kontextmenü "Auführen als ..."), aber ich errinere mich, dass es nicht überall ging und man sich letztlich doch komplett als "Administartor" anmelden musste.

TheDarkRose
02.04.10, 23:52
Warum als Admin-Account anmelden, wenn es auch über sudo geht??

gnoovy
02.04.10, 23:53
naja finde das auch net schlimm sich als admin-account anzumelden wenn man etwas administrieren muss, natürlich nicht um zu arbeiten. gäbe es nicht die möglichkeit windows-admin-accounts der root-gruppe hinzuzufügen?

oziris
03.04.10, 00:02
Ich denke, das hilft bei Dir nicht, weil die root-Gruppe meist nur Lese-Berechtigungen auf viele wichtige Konfigurationsdateien hat. Die root-Gruppe scheint eher sowas zu sein, wie "die Gruppe in der root ist, weil jeder Benutzer auch in einer Gruppe sein sollte und andere Benutzer nicht in roots Gruppe sein sollten".

PS: Damit die Gruppe wirksam wird, muss man sich neu anmelden oder in einer Shell mit su eine neue Anmeldung simulieren, wobei letzteres dann nur für die neue Shell gültig ist.

gnoovy
03.04.10, 01:26
hi oziris,

sorry jetzt stehe ich auf dem schlauch. Wie meinen? ;) des Weiteren ist mir grad aufgefallen: Wenn ich mit setfacl Posix-ACLs für Freigaben vergeben möchte kann ich das nicht für User durchführen welche ne in der Windows-Domäne erstellt wurden.
Nur die User, welche bereits bei Domänenbeitritt des Linux-Rechners da waren funktioniert dies.
Ist euch da was bekannt? Linuxrechner wurde bereits neu gestartet.

oziris
03.04.10, 01:55
Linuxrechner wurde bereits neu gestartet.
Hä? Warum?

oziris
03.04.10, 02:10
hi oziris,

sorry jetzt stehe ich auf dem schlauch. Wie meinen?
Ich bin gerade an einem Debian-System und wenn ich z.B. das hier mache:

find /etc -type f -group root -perm /g+wDann bekomme ich kein einziges Resultat. Das bedeutet, dass standardmäßig auf diesem System nicht vorgesehen ist, dass die Gruppe root irgendwo Schreibrechte auf die systemweiten Konfigurationsdateien hat. Die Gruppe root darf standardmäßig dort so einiges lesen, aber Schreibrechte hat sie nur auf Symlinks und bei denen gelten sowieso immer nur die Rechte auf das Ziel...

TheDarkRose
03.04.10, 12:38
"zweite seite nicht gelesen"

gnoovy
04.04.10, 00:00
hi oziris,

bekomme das gleiche Resultat. Das heißt im Gegensatz zu Windows hat root gar nicht alle vollkommenen Rechte im System?
Gibt es eigentlich die Möglichkeit Windows-User in Linuxgruppen über Samba o.ä. aufzunehmen?
Die letzte Frage wäre wieso ich neu angelegte Windows-User mit setfacl nicht auf Linuxverzeichnisse berechtigen kann, sondern nur Windows-User welche bei Aufnahme des Linuxrechners schon bestanden haben?
he.. sorry fragen über fragen...

oziris
04.04.10, 04:49
bekomme das gleiche Resultat. Das heißt im Gegensatz zu Windows hat root gar nicht alle vollkommenen Rechte im System?Das ist nur die Gruppe root. Der Benutzer root hat schon uneingeschränkten Zugriff. Wie gesagt, die Gruppe root scheint zunächst nur roots Gruppe zu sein, weil root eben auch eine Gruppe haben sollte und man ihn schlecht in eine Gruppe mit anderen stecken kann; tut man da andere hinein, dann dürfen sie erstmal nur nur ein paar zusätzliche Sachen lesen... Das bringt Dir ja auch nix.
Natürlich könntest Du dann noch die Berechtigungen auf Dem System durcheinander bringen, aber so kommst Du langfristig dann auch nicht weiter, weil das auch wieder negative Konsequenzen haben kann.
So gehören einige Konfigurationsdateien z.B. einer bestimmten Gruppe und dem Benutzer root. root darf sie editieren (lesen und schreiben) und nur eine bestimmte Gruppe darf die Einstellungen dann daraus lesen. Ändert man dort die Gruppe, damit alle in der Gruppe root die Konfiguration ändern dürften, dann können bestimmte Programme ihre Einstellungen nicht mehr daraus lesen, weil sie mit der Gruppe laufen, die dort ursprünglich eingestellt war. Um dann also diese Programme wieder darauf zugreifen zu lassen muss man weitere Änderungen vornehmen und so geht das dann jedesmal, wenn eine Konfigurationsdatei hinzukommt. ... und pauschall allen Leserechte einzuräumen kann bei manchen Programmen eine Sicherheitslücke auftun usw..

Wenn Du schon mit ACLs arbeitest, dann kannst Du vielleicht eine neue Gruppe machen, in der alle sind, die die Konfigurationsdateien ändern dürfen und dann kannst Du bestimmt diese Gruppe zusätzlich zu den bestehenden, zu allen Datein hinzufügen. Nur muss man das dann vermutlich jedesmal wiederholen, wenn etwas neues zum System dazukommt, weil in den Installationsscripten der Distribution kommt diese Gruppe ja leider nicht vor...

TheDarkRose
04.04.10, 11:37
Warum denn nicht einfach sudo oder su verwenden?

gnoovy
04.04.10, 14:47
hi oziris,

also erstmal vielen Dank für deine bisherige Hilfe... glaube ich hab das jetzt eingesehen mich zwar mit dem User Administrator anzumelden, aber bei administrativen Tätigkeiten "su root" auszuführen. Falls die Windows-Administratoren halt bestimmten Zugriff auf Dateien und Ordner des Linuxsystems benötigen, kann ich dies ja mit Posix-ACLs steuern.

Wisst ihr vielleicht zu meinem anderen Problem noch Rat, weshalb ich neu erstellten Windows-Accounts keine Berechtigungen auf die Linuxmaschine geben kann? wbinfo -u listet mir neu erstellte Windows-Accounts korrekt auf. Setfacl bricht bei neuen Accounts mit der Fehlernummer 3 ab.

oziris
09.04.10, 13:37
Ich habe noch eine besonderheit der Gruppe root gefunden: Sie darf Dateisysteme standardmäßig vollständig füllen. Andere Gruppen dürfen das standardmäßig nur bis zu zu einem Limit von ca. 5%, damit das System wartbar und lauffähig bleibt, selbst wenn gewöhnliche Benutzer es mit zu vielen Daten zugemüllt haben.
Nimmt man also weitere Benutzer in die Gruppe root auf, dann erhöht man das Risiko, dass diese (versehentlich) das System so voll machen, dass nichtmal mehr System-Logs geschrieben, oder gar nichtmal mehr gebootet werden kann, wenn beim booten Dateien erzeugt werden müssen...