9
AD,LDAP Gruppe auf Lokale Gruppe abbilden
Hallo,
ich habe folgendes Problem:
Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch und opsiadmin),
Jetzt möchte ich den Zugang zu Administration über das AD/LDAP regeln. Kann aber dort nur Gruppen mit dem Muster Abteilungskürzel + Gruppenname anlegen.
Wie kann ich die AD/LDAP Gruppen auf die 2 lokalen Gruppen abbilden?
Phill93
Edit: Gruppen korrigiert
ich habe folgendes Problem:
Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch und opsiadmin),
Jetzt möchte ich den Zugang zu Administration über das AD/LDAP regeln. Kann aber dort nur Gruppen mit dem Muster Abteilungskürzel + Gruppenname anlegen.
Wie kann ich die AD/LDAP Gruppen auf die 2 lokalen Gruppen abbilden?
Phill93
Edit: Gruppen korrigiert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274019
Url: https://administrator.de/contentid/274019
Printed on: April 19, 2024 at 14:04 o'clock
9 Comments
Latest comment
Du machst mich jetzt unsicher 
aber sind pcpatch und adminuser nicht User und keine Gruppen? Die dazugehörende Gruppe am Linuxserver ist opsiadmin und wird bei der Opsiinstallation automatisch angelegt
Korrigiere mich bitte, wenn ich falschliege.
aber sind pcpatch und adminuser nicht User und keine Gruppen? Die dazugehörende Gruppe am Linuxserver ist opsiadmin und wird bei der Opsiinstallation automatisch angelegtKorrigiere mich bitte, wenn ich falschliege.
Entschuldigung du hast recht 
Hab die Gruppen und User durcheinender Gebracht.
Hab die Gruppen und User durcheinender Gebracht.
Hallo,
wozu genau willst Du das machen?
Die Clients verbinden sich über den OPSICLIENT mit dem OPSISERVER und der Opsiclient ist auf den Winddowsrechnern mit SYSTEM am start und höher geht nicht
Die Verbindung baut der OPSICLIENT auch einfach so auf.
Gruß
Chonta
wozu genau willst Du das machen?
Die Clients verbinden sich über den OPSICLIENT mit dem OPSISERVER und der Opsiclient ist auf den Winddowsrechnern mit SYSTEM am start und höher geht nicht
Die Verbindung baut der OPSICLIENT auch einfach so auf.
Gruß
Chonta
Ich will auf die Opsiclientd (Kongiurations Oberfläche) mit den Ldap Usern zugreifen. Das geht auch soweit nur muss ich diese manuell auf dem Server den Besagten Gruppen hinzufügen.
Mir währe es lieber wenn ich das Zentral über die Gruppen machen kann. Weil wir für die AD/LDAP Gruppen eine Webanwendung haben.
Mir währe es lieber wenn ich das Zentral über die Gruppen machen kann. Weil wir für die AD/LDAP Gruppen eine Webanwendung haben.
Hallo,
ich gehe mal davon aus, das Du das Javafrontend meinst über das die Programme und so ausgerollt werden.
Leider kann ich nicht sagen, ob OPSI selber eine AD Anbindung nativ möglich macht.
Was aber theoretisch funktionieren würde, ist den Server auf dem OPSI installiert ist selber in die Domäne zu bringen, über samba+winbind und den pammodulen.
Opsi stopen, Opsi Gruppen und Benutzer 1:1 im AD anlegen. ACL für das Dateisystem aktivieren.
Samba und Winbind so konfigurieren, das sich AD-Benutzer wie normale Benutzer anmelden können.
Die Dateisystemrechte auf die AD-Benutzer:Gruppe setzen.
Opsi starten.
Nun sollte Opsi mit Adbenutzer und AD Gruppe laufen und auch Passwortänderungen verwenden.
Ich selber benutze die von Opsi angelegen Linux benutzer und nur AD-Benutzern im Dateisystem.
Gruß
Chonta
ich gehe mal davon aus, das Du das Javafrontend meinst über das die Programme und so ausgerollt werden.
Leider kann ich nicht sagen, ob OPSI selber eine AD Anbindung nativ möglich macht.
Was aber theoretisch funktionieren würde, ist den Server auf dem OPSI installiert ist selber in die Domäne zu bringen, über samba+winbind und den pammodulen.
Opsi stopen, Opsi Gruppen und Benutzer 1:1 im AD anlegen. ACL für das Dateisystem aktivieren.
Samba und Winbind so konfigurieren, das sich AD-Benutzer wie normale Benutzer anmelden können.
Die Dateisystemrechte auf die AD-Benutzer:Gruppe setzen.
Opsi starten.
Nun sollte Opsi mit Adbenutzer und AD Gruppe laufen und auch Passwortänderungen verwenden.
Ich selber benutze die von Opsi angelegen Linux benutzer und nur AD-Benutzern im Dateisystem.
Gruß
Chonta
Genau das hab ich mir auch gedacht. Jetzt kommt aber das Problem dazu das ich bei einem großunternehmen Arbeite und nur AD Gruppen mit meinem Abteilungskürzel erstellen kann. (ABT_Gruppe) Hab mir gedacht das das Rekursiv gehen würde.
Dann musst Du mal alle Opsi-Configs durchgehen und schauen wo eingestellt ist welcher Benutzer/Gruppe was darf.
Wenn es eine Config gibt in der die Namen festgehaltenw erden kannst Du das anpassen.
Bzw kann man über opsiadmin nicht neue Benutzer/Gruppen anlegen?
Musst dann nnur darauf achten das Opsi keine Benutzer in der paswd oder group anlegt und wenn ja löschen wegen Konflikten mit dem AD.
Aber wie gesagt nötig ist das nicht.
Gruß
Chonta
Wenn es eine Config gibt in der die Namen festgehaltenw erden kannst Du das anpassen.
Bzw kann man über opsiadmin nicht neue Benutzer/Gruppen anlegen?
Musst dann nnur darauf achten das Opsi keine Benutzer in der paswd oder group anlegt und wenn ja löschen wegen Konflikten mit dem AD.
Aber wie gesagt nötig ist das nicht.
Gruß
Chonta
Das mit den Config war eine gute Idee hab eine acl Datei gefunden.
Habe da meine LDAP Gruppe eingetragen.
Nur hab ich jetzt das Problem das OPSI scheinbar nicht ins LDAP schaut.
Die PAM LDAP Authentifizierung geht aber. (Getestet über SSH)
Ich bekomme in das Auth Log folgenden Eintrag wenn ich mich einloggen will:
Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1793]: password check failed for user (test_user)
Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1794]: could not obtain user info (test_user)
Phill93
Habe da meine LDAP Gruppe eingetragen.
Nur hab ich jetzt das Problem das OPSI scheinbar nicht ins LDAP schaut.
Die PAM LDAP Authentifizierung geht aber. (Getestet über SSH)
Ich bekomme in das Auth Log folgenden Eintrag wenn ich mich einloggen will:
Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1793]: password check failed for user (test_user)
Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1794]: could not obtain user info (test_user)
Phill93
Hallo,
quick&dirty
Linuxbenutzer anlegen mit dem Namen und das selbe Passwort wie der Domänenbenutzer vergeben.
Danach passwd und group von dem Benutzer befreien, aber in der shadow lassen und im AD das Passwort fest setzen.
Könnte funktionieren, müsste aber dann für jeden Opsibenutzer imme rmit gemacht werden, wenn es dennfunktioniert.
Gruß
Chonta
quick&dirty
Linuxbenutzer anlegen mit dem Namen und das selbe Passwort wie der Domänenbenutzer vergeben.
Danach passwd und group von dem Benutzer befreien, aber in der shadow lassen und im AD das Passwort fest setzen.
Könnte funktionieren, müsste aber dann für jeden Opsibenutzer imme rmit gemacht werden, wenn es dennfunktioniert.
Gruß
Chonta
