8
Ubuntu 16.04 LDAP USER-GRUPPEN und lokale Gruppen Berechtigungen
Ich habe ein Problem zbw. weiß nicht wo ich ansetzen soll.
Ich habe einen LDAP Server (Ubuntu 16.04) und einen Client (Ubuntu 16.04) im Einsatz.
Auf meinem LDAP Server habe ich diverse Gruppen und Benutzer angelegt.
Wenn meine Benutzer nicht Mitglied der Gruppe "user" oder "admin" sind, können diese sich nicht am Client anmelden.
Hierfür habe ich in folgender Datei die folgenden Einträge hinterlegt.
/etc/security/access.conf
Jetzt möchte ich jedoch verhindern, dass einige Bnutzer auf USB Sticks, CD/DVD oder Disketten Laufwerke zugreifen können.
Hierfür gibt es einige lokale Gruppen wie z.B. cdrom (groupid 24) und plugdev (groupid 46) welche für diese Berechtigungen vorgesehen sind.
Wie kann ich jedoch einen LDAP Benutzer aus einer solchen Gruppe entfernen?
Bzw. wie kann ich eine LDAP Gruppe einschränken?
Es handelt sich lediglich um eine angelegte LDAP GRUPPE. Soweit ich weiß, verfügen diese nicht über derartige Berechtigungen.
Wenn ich mich mit einem User an einem Client anmelde, wird lediglich der LDAP USER in der zugehörigen LDAP GRUPPE angemeldet.
Wie kann ich für diesen LDAP USER die lokalen Berechtigungen einschränken. Das ist doch sicherlich keine ungewöhnliche Anforderung.
Ich habe einen LDAP Server (Ubuntu 16.04) und einen Client (Ubuntu 16.04) im Einsatz.
Auf meinem LDAP Server habe ich diverse Gruppen und Benutzer angelegt.
- admin
- user
Wenn meine Benutzer nicht Mitglied der Gruppe "user" oder "admin" sind, können diese sich nicht am Client anmelden.
Hierfür habe ich in folgender Datei die folgenden Einträge hinterlegt.
/etc/security/access.conf
* +:user:ALL
* +:admin:ALLJetzt möchte ich jedoch verhindern, dass einige Bnutzer auf USB Sticks, CD/DVD oder Disketten Laufwerke zugreifen können.
Hierfür gibt es einige lokale Gruppen wie z.B. cdrom (groupid 24) und plugdev (groupid 46) welche für diese Berechtigungen vorgesehen sind.
Wie kann ich jedoch einen LDAP Benutzer aus einer solchen Gruppe entfernen?
Bzw. wie kann ich eine LDAP Gruppe einschränken?
Es handelt sich lediglich um eine angelegte LDAP GRUPPE. Soweit ich weiß, verfügen diese nicht über derartige Berechtigungen.
Wenn ich mich mit einem User an einem Client anmelde, wird lediglich der LDAP USER in der zugehörigen LDAP GRUPPE angemeldet.
Wie kann ich für diesen LDAP USER die lokalen Berechtigungen einschränken. Das ist doch sicherlich keine ungewöhnliche Anforderung.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349845
Url: https://administrator.de/forum/ubuntu-16-04-ldap-user-gruppen-und-lokale-gruppen-berechtigungen-349845.html
Ausgedruckt am: 15.04.2025 um 00:04 Uhr
8 Kommentare
Neuester Kommentar
Hier stehts unter Assign local groups to users
https://help.ubuntu.com/community/LDAPClientAuthentication
Gruß
https://help.ubuntu.com/community/LDAPClientAuthentication
Gruß
Hallo Oneplus,
das hatte ich bereits getestet.
Jedoch möchte ich keine LDAP User einer Lokalen Gruppe zuweisen, sondern ehr die Rechte beschränken.
Meine LDAP Benutzer haben diese Rechte bereits und ich möchte diese verbieten.
Danke trotzdem für den Tip. Hast du noch eine Idee hierfür?
das hatte ich bereits getestet.
Jedoch möchte ich keine LDAP User einer Lokalen Gruppe zuweisen, sondern ehr die Rechte beschränken.
Meine LDAP Benutzer haben diese Rechte bereits und ich möchte diese verbieten.
Danke trotzdem für den Tip. Hast du noch eine Idee hierfür?
Ohhh!!! Ich sehe gerade das ich diesen Post wirklich schon einmal aufgegeben habe.
Das war keine Absicht! Ich habe diese Frage in mehreren Foren gepostet und da hab ich diesen wohl übersenen!
Kann man den ersten Post löschen?
Das war keine Absicht! Ich habe diese Frage in mehreren Foren gepostet und da hab ich diesen wohl übersenen!
Kann man den ersten Post löschen?
Naja, wenn du mal nachdenken würdest dann würdest du die Möglichkeit sehen die User einer neuen lokalen Gruppe zuzuweisen welche nicht Mitglied in den Gruppen CD-ROM und plugdev ist, und schon hast du die gewünschte Einschränkung!
Hallo Oneplus,
wenn das funktioniert wäre das die Lösung.
Wie kann ich die Berechtigungen einer gruppe anpassen?
mit addgroup "neue Gruppe" erstelle ich eine lokale Gruppe.
Wo sehe ich die Berechtigungen dieser Gruppe? (floppy, plugdev)
wenn das funktioniert wäre das die Lösung.
Wie kann ich die Berechtigungen einer gruppe anpassen?
mit addgroup "neue Gruppe" erstelle ich eine lokale Gruppe.
Wo sehe ich die Berechtigungen dieser Gruppe? (floppy, plugdev)
Ja wie jetzt? Das gehört zu den Grundlagen die jeder Linux Admin aus dem FF beherrschen sollte, also nochmal zurück auf die Schulbank
https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/
https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/
Leider bin ich etwas neu in diesem Thema und befasse mich erst seit Anfang des Jahres mit Linux.
Ich habe auch kein Problem Benutzer zu einer Gruppe hinzuzufügen.
Das Problem ist ehr folgendes:
Die Gruppe FLOPPY darf auf Disketten zugreifen
Die Gruppe CD-ROM darf auf CD-ROM Laufwerke zugreifen
Auf was darf eine neue Gruppe XY zugreifen und wie wird dies konfiguriert? Dazu finde ich leider nichts.
Zusätzlich habe ich gelesen, dass ich nur Benutzer einer Gruppe zuweißen kann. Nicht eine Gruppe zu einer Gruppe.
Würde das gehen hätte ich eine neue Gruppe XY angelegt und dieser Gruppe die Gruppe FLOPPY für dieses Recht hinzugefügt.
Ich habe jetzt meine %user zu der Gruppe FLOPPY und XY hinzugefügt. Jedoch haben die Benutzer noch immer die restlichen Berechtigungen.
Wenn ich den Befehl "groups" ausführe bekomme ich folgende Rückmeldung:
user audio XY
user ist in diesem Fall die LDAP Gruppe
audio und XY sind lokale Gruppen
Ich habe jetzt einen weiteren Test gemacht und einen lokalen Benutzer angelgt und diesen lediglich in die Gruppe XY und audio gesteckt.
Dieser Bentzer hat trotzdem Zugriff auf USB Sticks und CD-ROM Laufwerke.
Wahrscheinlich bekommt jeder User Standardberechtigungen welche man so nicht einschränken kann. Bzw. müsste man dies Standardmäßig einschränken.
Ich habe auch kein Problem Benutzer zu einer Gruppe hinzuzufügen.
Das Problem ist ehr folgendes:
Die Gruppe FLOPPY darf auf Disketten zugreifen
Die Gruppe CD-ROM darf auf CD-ROM Laufwerke zugreifen
Auf was darf eine neue Gruppe XY zugreifen und wie wird dies konfiguriert? Dazu finde ich leider nichts.
Zusätzlich habe ich gelesen, dass ich nur Benutzer einer Gruppe zuweißen kann. Nicht eine Gruppe zu einer Gruppe.
Würde das gehen hätte ich eine neue Gruppe XY angelegt und dieser Gruppe die Gruppe FLOPPY für dieses Recht hinzugefügt.
Ich habe jetzt meine %user zu der Gruppe FLOPPY und XY hinzugefügt. Jedoch haben die Benutzer noch immer die restlichen Berechtigungen.
Wenn ich den Befehl "groups" ausführe bekomme ich folgende Rückmeldung:
user audio XY
user ist in diesem Fall die LDAP Gruppe
audio und XY sind lokale Gruppen
Ich habe jetzt einen weiteren Test gemacht und einen lokalen Benutzer angelgt und diesen lediglich in die Gruppe XY und audio gesteckt.
Dieser Bentzer hat trotzdem Zugriff auf USB Sticks und CD-ROM Laufwerke.
Wahrscheinlich bekommt jeder User Standardberechtigungen welche man so nicht einschränken kann. Bzw. müsste man dies Standardmäßig einschränken.
Dieser Bentzer hat trotzdem Zugriff auf USB Sticks und CD-ROM Laufwerke.
Dann hast du die Mount-Points nicht geschützt...https://www.unixmen.com/block-access-usb-cddvd-debian-derivatives/
