PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Warum erstellt man neue Gruppen?



humanica
05.03.17, 19:00
Hallo,

ich wundere mich seit einiger Zeit, dass in vielen Tutorials an Nutzer Gruppen gebastelt wird. Leider konnte ich diesen Schritt nie nachvollziehen.
Meistens läuft das ganze nach folgendem Schema:

1. Server installieren
2. Sich selbst der Nutzer Gruppe des Servers hinzufügen
3. Neuen Benutzer inkl Passwort anlegen
4. Neuen Nutzer zur Nutzer Gruppe des Servers hinzufügen

Wenn ich das ganze richtig verstanden habe wird der Service im Netzwerk bereitgestellt und kann durch den erstellten Gast Account
in Anspruch genommen werden. Ich könnte also Mitbewohner A die Zugangsdaten für den Netzwerk Drucker geben während Mitbewohner B nur auf
den Dateiserver zugreifen darf.
Ich vertraue jedem Nutzer meines lokalen Netzwerkes genug um ihm/ihr Vollzugriff auf alle im lokalen Netz bereitgestellten Services zu gewähren.
Muss ich diese Schritt auslassen bei der Installation?
Muss ich explizit allen Nutzern vollen Zugriff gewähren? Wie lautet der Befehl dazu?

marce
05.03.17, 19:06
Um was für einen Server geht es denn?

Abgesehen davon gibt es "die Methode" für Rechteverwaltung nicht - was man wie am besten umsetzt hängt vom jeweiligen Anspruch aller Beteiligten ab.

humanica
05.03.17, 19:11
Hättest du einen Link um mir die Basics der Rechteverwaltung anzulesen? Ich finde zwar Manpages etc, doch meistens wird beschrieben wie und nicht warum das ganze getan wird.
Es geht speziell um Cups und Samba, wobei mir das Problem schon sehr oft begegnet ist.

humanica
05.03.17, 19:15
Hier mal ein Beispiel aus dem "Sempervideo" Youtube Channel:

"
apt-get install cups printer-driver-gutenprint

cupsctl --remote-admin

lsusb

cupsctl --share-printers

cupsctl --remote-printers

usermod -aG lpadmin pi
"

Newbie314
05.03.17, 19:15
Gruppen sind einfach ein Werkzeug um den Zugang zu Ressourcen zu regeln.

Nehmen wir an, ein Mehrbenutzersystem hat einen Drucker. Nehmen wir an ein Teil der Nutzer soll keine Berechtigung zum Drucken haben, die sind dann nicht Mitglied der Gruppe Drucker. Nehmen wir an ein paar Nutzer sollen nicht nur drucken dürfen sondern auch administrative Aufgaben am Drucker übernehmen. Diese wären dann Mitglied in Drucker und in der Gruppe Druckeradministrator. Sie könnten dann auch Druckaufträge abbrechen oder die queue neu starten.


Ein anderer Punkt ist die sudoer list. Dort kannst du bestimmten Gruppen Dinge erlauben die sonst nur root darf, zum Beispiel den mount Befehl.

marce
05.03.17, 19:16
Die Doku zu der Rechteverwaltung und den "Grundlagen dahinter" findet sich meist in der Doku des jeweiligen Servers. "Linux" bzw. das lokale System stellt da jeweils maximal die grundlegende Userdatenbank bereit, alles weitere findet dann innerhalb der jeweiligen Serversoftware statt. "Den Link" für alles gibt's also nicht.

humanica
05.03.17, 19:43
Gruppen sind einfach ein Werkzeug um den Zugang zu Ressourcen zu regeln.

Nehmen wir an, ein Mehrbenutzersystem hat einen Drucker. Nehmen wir an ein Teil der Nutzer soll keine Berechtigung zum Drucken haben, die sind dann nicht Mitglied der Gruppe Drucker. Nehmen wir an ein paar Nutzer sollen nicht nur drucken dürfen sondern auch administrative Aufgaben am Drucker übernehmen. Diese wären dann Mitglied in Drucker und in der Gruppe Druckeradministrator. Sie könnten dann auch Druckaufträge abbrechen oder die queue neu starten.


Ein anderer Punkt ist die sudoer list. Dort kannst du bestimmten Gruppen Dinge erlauben die sonst nur root darf, zum Beispiel den mount Befehl.

Dazu hätte ich noch ein paar Fragen.
Angenommen ich installiere wie im Beispiel einen Cups Druckerserver. Der Benutzer Pi wird der Gruppe lpadmin hinzugefügt.
1. Wird bei einem Cups Server automatisch eine Nutzergruppe mit dem Namen "Lpadmin" angelegt?
2. Muss ich bei jedem neu installierten Server die Dokumentation lesen und den Namen der entsprechenden Gruppen herausfinden?
3.
NutzerA --> Lan --> Raspberry Pi --> Cups Server
NutzerB --> Lan --> Raspberry Pi --> Cups Server
Ich füge Pi als Nutzer der Gruppe hinzu und der Pi darf im folgenden alle aus dem Netz eintreffenden Anfragen am Cups Server bearbeiten.
Möchte ich den Zugriff zwischen NutzerA und NutzerB regeln lege ich am Raspberry einen Nutzer "NutzerA" und einen "NutzerB" an und gebe diesen jeweils Rechte.
NutzerA könnte ich der Gruppe "lpadmin" hinzufügen und NutzerB der Gruppe "lpuser" (wie auch immer diese heißt) um die Rechte zu verwalten.
Stimmt das soweit?
4. Wie lässt sich dieser Overhead im privaten, lokalen Netz durch ein "jeder darf alles" oder "Jeder ist automatisch root" Befehl vermeiden?

marce
05.03.17, 19:58
Dazu hätte ich noch ein paar Fragen.
Angenommen ich installiere wie im Beispiel einen Cups Druckerserver. Der Benutzer Pi wird der Gruppe lpadmin hinzugefügt.
1. Wird bei einem Cups Server automatisch eine Nutzergruppe mit dem Namen "Lpadmin" angelegt?
Das kommt auf die Art der Installation an - "fertige" Pakte aus Distributionen machen das meistens, sprich sie hinterlassen nach der Installation ein sauber benutzbares System.
Benutzer und Gruppen können sich übrigens von Distribution zu Distribution unterscheiden.


2. Muss ich bei jedem neu installierten Server die Dokumentation lesen und den Namen der entsprechenden Gruppen herausfinden?
Ja.


3.
NutzerA --> Lan --> Raspberry Pi --> Cups Server
NutzerB --> Lan --> Raspberry Pi --> Cups Server
Ich füge Pi als Nutzer der Gruppe hinzu und der Pi darf im folgenden alle aus dem Netz eintreffenden Anfragen am Cups Server bearbeiten.
Möchte ich den Zugriff zwischen NutzerA und NutzerB regeln lege ich am Pi einen Nutzer "NutzerA" und einen "NutzerB" an und gebe diesen jeweils Rechte.
Soweit ich weiß fragt das Cups Webinterface nicht nach einem Nutzer oder Passwort, dh ich bin direkt als "Pi" angemeldet. Wie wäre es nun Möglich NutzerB auszuschließen?
Das kommt auf die konkrete Installation und Konfiguration an.
Der Cups-Client meldet sich ja am Cups-Server an. Je nach dem, wie Du den konfiguriert hast musst Du eben die Berechtigungen innerhalb des Servers und ggf. auch lokal auf den Clients vergeben.


4. Wie lässt sich "jeder darf alles" möglichst einfach realisieren?
Auf dem Server entsprechend einrichten - wie - siehe entsprechende Doku des jeweiligen Servers. Also Cups, Samba, MySQL, Apache, PostGreSQL, ...

Ja - um's Lesen kommst Du nicht drumherum.

Newbie314
05.03.17, 21:03
Jeder darf alles ist in der Regel keine gute Idee. Wenn du bei einem installierten System die Gruppennamen ansiehst erklärt sich schon vieles, manche Gruppennamen wirst du dann ergooglen um herauszufinden wozu sie gedacht sind.