4
Zentrale User Verwaltung für Linux Server und Remote Zugang über SSH
Ich bin gerade dabei ein Konzept zu erstellen, jedoch weiß ich nicht wie ich es realisieren soll bzw. ob es realisierbar ist.
Aufgabe:
Zukünftig sollen mehrerer identische Linux Server bei unterschiedlichen Standorten eingesetzt werden. Auf diesen Linux Rechner würden dann unterschiedliche Gruppen mit unterschiedlichen Rechten über Remote (SSH) zugreifen. Jedoch sollen sie auf jedem Server die gleichen Rechte haben und die User sollten zentral verwaltet werden.
BSP für erforderliche Rechte
Gruppe1: Lese-Rechte auf den var/log Ordner
Gruppe2: Schreib-Rechte und leserechte auf mehreren Ordner
Gruppe3: Schreib-Lese - und Execute Rechte auf die Ordner von User 2 und anderen Ordner
…
Geplantes Konzept
- Zentrale User Veraltung mittels LDAP Server (over SSL)
- Linux Server mit LDAP Client (PAM für SSH Access)
- Clients mit installierten SSH Client
Will sich nun ein User mittels SSH zu einem Server verbinden muss er Benutzername & Passwort am Server über SSH eingeben ums sich zu Authentisieren. Der Server überprüft die eingegeben Daten beim LDAP Server, sind die Daten gültig erlaubt der Server den Zugriff.
Jedoch, wie habe ich die Möglichkeit dass ich den eingeloggten User nur bestimmte Rechte auf Dateien und Ordner auf diesem Server vergebe? Ist dies über LDAP möglich?
Ist es erforderlich am Server lokal die gleichen Gruppen anzulegen wie am LDAP Server?
Realisiert sollten zukünftig: Max 100 Server, mit ca. 30 Usern.
Ich wäre sehr über Rat & Vorschläge erfreut.
Aufgabe:
Zukünftig sollen mehrerer identische Linux Server bei unterschiedlichen Standorten eingesetzt werden. Auf diesen Linux Rechner würden dann unterschiedliche Gruppen mit unterschiedlichen Rechten über Remote (SSH) zugreifen. Jedoch sollen sie auf jedem Server die gleichen Rechte haben und die User sollten zentral verwaltet werden.
BSP für erforderliche Rechte
Gruppe1: Lese-Rechte auf den var/log Ordner
Gruppe2: Schreib-Rechte und leserechte auf mehreren Ordner
Gruppe3: Schreib-Lese - und Execute Rechte auf die Ordner von User 2 und anderen Ordner
…
Geplantes Konzept
- Zentrale User Veraltung mittels LDAP Server (over SSL)
- Linux Server mit LDAP Client (PAM für SSH Access)
- Clients mit installierten SSH Client
Will sich nun ein User mittels SSH zu einem Server verbinden muss er Benutzername & Passwort am Server über SSH eingeben ums sich zu Authentisieren. Der Server überprüft die eingegeben Daten beim LDAP Server, sind die Daten gültig erlaubt der Server den Zugriff.
Jedoch, wie habe ich die Möglichkeit dass ich den eingeloggten User nur bestimmte Rechte auf Dateien und Ordner auf diesem Server vergebe? Ist dies über LDAP möglich?
Ist es erforderlich am Server lokal die gleichen Gruppen anzulegen wie am LDAP Server?
Realisiert sollten zukünftig: Max 100 Server, mit ca. 30 Usern.
Ich wäre sehr über Rat & Vorschläge erfreut.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195273
Url: https://administrator.de/contentid/195273
Printed on: April 19, 2024 at 15:04 o'clock
4 Comments
Latest comment
wieso nicht samba ?
sollte doch mit chmod ganz easy zu lösen sein zumindest die rechte
sollte doch mit chmod ganz easy zu lösen sein zumindest die rechte
öhm - samba? /var/log lässt eher auf einen Shell-Benutzer schließen…
Ich würde das ganze über einen LDAP erledigen - da hast du einmal den Aufwand der Installation und dann geht es relativ gut (beachte: wenn man LDAP kennt!!!!). Gruppen usw. machst du alles über LDAP. Kleiner Tipp nebenbei: Nen lokales Konto als Backup schadet trotzdem nie - nicht gleich das root-Konto sondern irgendein "Arbeitskonto" - falls der LDAP mal nicht erreichbar ist (z.B. Internetleitung weg) kann man da das PW rausgeben ohne gleich den Vollzugriff aufs System zu erlauben...
Ich würde das ganze über einen LDAP erledigen - da hast du einmal den Aufwand der Installation und dann geht es relativ gut (beachte: wenn man LDAP kennt!!!!). Gruppen usw. machst du alles über LDAP. Kleiner Tipp nebenbei: Nen lokales Konto als Backup schadet trotzdem nie - nicht gleich das root-Konto sondern irgendein "Arbeitskonto" - falls der LDAP mal nicht erreichbar ist (z.B. Internetleitung weg) kann man da das PW rausgeben ohne gleich den Vollzugriff aufs System zu erlauben...
Danke für eure raschen Antworten
Local auf den Servern wäre eh geplant gewesen User für den Offline Betrieb einzurichten, damit auch jemand local falls die Verbindung zum LDAP Server unterbrochen wird zugegriffen werden kann.
Jedoch ist mir noch nicht ganz klar wie ich das mit den Zugriffsrechten realisieren kann.
BSP: auf dem Server werden user und die entsprechenden Gruppen eingerichtet, (schließlich sollen die Dienste nur unter Bestimmten Rechten laufen.
user gruppe Verzeichnis Rechte
________________________________________________
root root / rwx
webserver webserver /var/www rw
maintenance maintenance /var/log r
update update /var/www rwx
/etc/... rwx
...
Wie kann ich aber einen Bezug zu den User und Gruppen herstellen die sich über SSH verbinden und über LDAP authentisieren?
Kann man LDAP Server irgendwo parameter übergeben auf welchen Order der Zugriff gewährt wird??
In der Microsoft Welt ist das nach meines Wissens über Gruppenrichtlinien möglich, jedoch muss sich dabei der Client in einer Domaine befinden.
BSP: User Maier soll zur Gruppe Webserver gehören und nur dort local etwas ändern können.
User Lang soll zur Gruppe Maintenance gehören und nur die Log Dateien lese und auswerten können.
Local auf den Servern wäre eh geplant gewesen User für den Offline Betrieb einzurichten, damit auch jemand local falls die Verbindung zum LDAP Server unterbrochen wird zugegriffen werden kann.
Jedoch ist mir noch nicht ganz klar wie ich das mit den Zugriffsrechten realisieren kann.
BSP: auf dem Server werden user und die entsprechenden Gruppen eingerichtet, (schließlich sollen die Dienste nur unter Bestimmten Rechten laufen.
user gruppe Verzeichnis Rechte
________________________________________________
root root / rwx
webserver webserver /var/www rw
maintenance maintenance /var/log r
update update /var/www rwx
/etc/... rwx
...
Wie kann ich aber einen Bezug zu den User und Gruppen herstellen die sich über SSH verbinden und über LDAP authentisieren?
Kann man LDAP Server irgendwo parameter übergeben auf welchen Order der Zugriff gewährt wird??
In der Microsoft Welt ist das nach meines Wissens über Gruppenrichtlinien möglich, jedoch muss sich dabei der Client in einer Domaine befinden.
BSP: User Maier soll zur Gruppe Webserver gehören und nur dort local etwas ändern können.
User Lang soll zur Gruppe Maintenance gehören und nur die Log Dateien lese und auswerten können.
nun - da du die gruppen im ldap verwaltest hast du damit kein Problem... Vgl.: http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch31_:_ ... (Google, Linux ldap user management)
Wenn also ein User zur Gruppe "Webserver" gehört - dann kann er Daten für diese Gruppe ändern... Du solltest also gucken wie du die Gruppen benennst und welche User du wo zuordnest, aber das musst du bei solch einem System eh
Wenn also ein User zur Gruppe "Webserver" gehört - dann kann er Daten für diese Gruppe ändern... Du solltest also gucken wie du die Gruppen benennst und welche User du wo zuordnest, aber das musst du bei solch einem System eh
