phill93
Goto Top

AD,LDAP Gruppe auf Lokale Gruppe abbilden

Hallo,

ich habe folgendes Problem:

Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch und opsiadmin),
Jetzt möchte ich den Zugang zu Administration über das AD/LDAP regeln. Kann aber dort nur Gruppen mit dem Muster Abteilungskürzel + Gruppenname anlegen.

Wie kann ich die AD/LDAP Gruppen auf die 2 lokalen Gruppen abbilden?

Phill93

Edit: Gruppen korrigiert

Content-ID: 274019

Url: https://administrator.de/forum/ad-ldap-gruppe-auf-lokale-gruppe-abbilden-274019.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Franz-Josef-II
Franz-Josef-II 08.06.2015 aktualisiert um 12:16:41 Uhr
Goto Top
Du machst mich jetzt unsicher face-wink aber sind pcpatch und adminuser nicht User und keine Gruppen? Die dazugehörende Gruppe am Linuxserver ist opsiadmin und wird bei der Opsiinstallation automatisch angelegt

Korrigiere mich bitte, wenn ich falschliege.
Phill93
Phill93 08.06.2015 um 12:27:55 Uhr
Goto Top
Entschuldigung du hast recht face-smile Hab die Gruppen und User durcheinender Gebracht.
Chonta
Chonta 08.06.2015 um 13:05:27 Uhr
Goto Top
Hallo,

wozu genau willst Du das machen?
Die Clients verbinden sich über den OPSICLIENT mit dem OPSISERVER und der Opsiclient ist auf den Winddowsrechnern mit SYSTEM am start und höher geht nicht face-smile
Die Verbindung baut der OPSICLIENT auch einfach so auf.

Gruß

Chonta
Phill93
Phill93 08.06.2015 um 13:09:50 Uhr
Goto Top
Ich will auf die Opsiclientd (Kongiurations Oberfläche) mit den Ldap Usern zugreifen. Das geht auch soweit nur muss ich diese manuell auf dem Server den Besagten Gruppen hinzufügen.
Mir währe es lieber wenn ich das Zentral über die Gruppen machen kann. Weil wir für die AD/LDAP Gruppen eine Webanwendung haben.
Chonta
Chonta 08.06.2015 um 14:19:51 Uhr
Goto Top
Hallo,

ich gehe mal davon aus, das Du das Javafrontend meinst über das die Programme und so ausgerollt werden.
Leider kann ich nicht sagen, ob OPSI selber eine AD Anbindung nativ möglich macht.
Was aber theoretisch funktionieren würde, ist den Server auf dem OPSI installiert ist selber in die Domäne zu bringen, über samba+winbind und den pammodulen.
Opsi stopen, Opsi Gruppen und Benutzer 1:1 im AD anlegen. ACL für das Dateisystem aktivieren.
Samba und Winbind so konfigurieren, das sich AD-Benutzer wie normale Benutzer anmelden können.
Die Dateisystemrechte auf die AD-Benutzer:Gruppe setzen.
Opsi starten.

Nun sollte Opsi mit Adbenutzer und AD Gruppe laufen und auch Passwortänderungen verwenden.
Ich selber benutze die von Opsi angelegen Linux benutzer und nur AD-Benutzern im Dateisystem.

Gruß

Chonta
Phill93
Phill93 08.06.2015 um 18:04:26 Uhr
Goto Top
Genau das hab ich mir auch gedacht. Jetzt kommt aber das Problem dazu das ich bei einem großunternehmen Arbeite und nur AD Gruppen mit meinem Abteilungskürzel erstellen kann. (ABT_Gruppe) Hab mir gedacht das das Rekursiv gehen würde.
Chonta
Chonta 09.06.2015 um 08:37:28 Uhr
Goto Top
Dann musst Du mal alle Opsi-Configs durchgehen und schauen wo eingestellt ist welcher Benutzer/Gruppe was darf.
Wenn es eine Config gibt in der die Namen festgehaltenw erden kannst Du das anpassen.
Bzw kann man über opsiadmin nicht neue Benutzer/Gruppen anlegen?
Musst dann nnur darauf achten das Opsi keine Benutzer in der paswd oder group anlegt und wenn ja löschen wegen Konflikten mit dem AD.
Aber wie gesagt nötig ist das nicht.

Gruß

Chonta
Phill93
Phill93 09.06.2015 um 11:00:50 Uhr
Goto Top
Das mit den Config war eine gute Idee hab eine acl Datei gefunden.
Habe da meine LDAP Gruppe eingetragen.
Nur hab ich jetzt das Problem das OPSI scheinbar nicht ins LDAP schaut.
Die PAM LDAP Authentifizierung geht aber. (Getestet über SSH)

Ich bekomme in das Auth Log folgenden Eintrag wenn ich mich einloggen will:

Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1793]: password check failed for user (test_user)
Jun 9 10:11:01 OPSI-TEST unix_chkpwd[1794]: could not obtain user info (test_user)

Phill93
Chonta
Chonta 09.06.2015 um 12:55:15 Uhr
Goto Top
Hallo,

quick&dirty
Linuxbenutzer anlegen mit dem Namen und das selbe Passwort wie der Domänenbenutzer vergeben.
Danach passwd und group von dem Benutzer befreien, aber in der shadow lassen und im AD das Passwort fest setzen.
Könnte funktionieren, müsste aber dann für jeden Opsibenutzer imme rmit gemacht werden, wenn es dennfunktioniert.

Gruß

Chonta