AD,LDAP Gruppe auf Lokale Gruppe abbilden
Hallo,
ich habe folgendes Problem:
Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch und opsiadmin),
Jetzt möchte ich den Zugang zu Administration über das AD/LDAP regeln. Kann aber dort nur Gruppen mit dem Muster Abteilungskürzel + Gruppenname anlegen.
Wie kann ich die AD/LDAP Gruppen auf die 2 lokalen Gruppen abbilden?
Phill93
Edit: Gruppen korrigiert
ich habe folgendes Problem:
Ich nutze die Software OPSI diese benötigt für die Administration 2 Lokale Gruppen (pcpatch und opsiadmin),
Jetzt möchte ich den Zugang zu Administration über das AD/LDAP regeln. Kann aber dort nur Gruppen mit dem Muster Abteilungskürzel + Gruppenname anlegen.
Wie kann ich die AD/LDAP Gruppen auf die 2 lokalen Gruppen abbilden?
Phill93
Edit: Gruppen korrigiert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 274019
Url: https://administrator.de/forum/ad-ldap-gruppe-auf-lokale-gruppe-abbilden-274019.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
ich gehe mal davon aus, das Du das Javafrontend meinst über das die Programme und so ausgerollt werden.
Leider kann ich nicht sagen, ob OPSI selber eine AD Anbindung nativ möglich macht.
Was aber theoretisch funktionieren würde, ist den Server auf dem OPSI installiert ist selber in die Domäne zu bringen, über samba+winbind und den pammodulen.
Opsi stopen, Opsi Gruppen und Benutzer 1:1 im AD anlegen. ACL für das Dateisystem aktivieren.
Samba und Winbind so konfigurieren, das sich AD-Benutzer wie normale Benutzer anmelden können.
Die Dateisystemrechte auf die AD-Benutzer:Gruppe setzen.
Opsi starten.
Nun sollte Opsi mit Adbenutzer und AD Gruppe laufen und auch Passwortänderungen verwenden.
Ich selber benutze die von Opsi angelegen Linux benutzer und nur AD-Benutzern im Dateisystem.
Gruß
Chonta
ich gehe mal davon aus, das Du das Javafrontend meinst über das die Programme und so ausgerollt werden.
Leider kann ich nicht sagen, ob OPSI selber eine AD Anbindung nativ möglich macht.
Was aber theoretisch funktionieren würde, ist den Server auf dem OPSI installiert ist selber in die Domäne zu bringen, über samba+winbind und den pammodulen.
Opsi stopen, Opsi Gruppen und Benutzer 1:1 im AD anlegen. ACL für das Dateisystem aktivieren.
Samba und Winbind so konfigurieren, das sich AD-Benutzer wie normale Benutzer anmelden können.
Die Dateisystemrechte auf die AD-Benutzer:Gruppe setzen.
Opsi starten.
Nun sollte Opsi mit Adbenutzer und AD Gruppe laufen und auch Passwortänderungen verwenden.
Ich selber benutze die von Opsi angelegen Linux benutzer und nur AD-Benutzern im Dateisystem.
Gruß
Chonta
Dann musst Du mal alle Opsi-Configs durchgehen und schauen wo eingestellt ist welcher Benutzer/Gruppe was darf.
Wenn es eine Config gibt in der die Namen festgehaltenw erden kannst Du das anpassen.
Bzw kann man über opsiadmin nicht neue Benutzer/Gruppen anlegen?
Musst dann nnur darauf achten das Opsi keine Benutzer in der paswd oder group anlegt und wenn ja löschen wegen Konflikten mit dem AD.
Aber wie gesagt nötig ist das nicht.
Gruß
Chonta
Wenn es eine Config gibt in der die Namen festgehaltenw erden kannst Du das anpassen.
Bzw kann man über opsiadmin nicht neue Benutzer/Gruppen anlegen?
Musst dann nnur darauf achten das Opsi keine Benutzer in der paswd oder group anlegt und wenn ja löschen wegen Konflikten mit dem AD.
Aber wie gesagt nötig ist das nicht.
Gruß
Chonta
Hallo,
quick&dirty
Linuxbenutzer anlegen mit dem Namen und das selbe Passwort wie der Domänenbenutzer vergeben.
Danach passwd und group von dem Benutzer befreien, aber in der shadow lassen und im AD das Passwort fest setzen.
Könnte funktionieren, müsste aber dann für jeden Opsibenutzer imme rmit gemacht werden, wenn es dennfunktioniert.
Gruß
Chonta
quick&dirty
Linuxbenutzer anlegen mit dem Namen und das selbe Passwort wie der Domänenbenutzer vergeben.
Danach passwd und group von dem Benutzer befreien, aber in der shadow lassen und im AD das Passwort fest setzen.
Könnte funktionieren, müsste aber dann für jeden Opsibenutzer imme rmit gemacht werden, wenn es dennfunktioniert.
Gruß
Chonta