xpeperx
Goto Top

Zentrale User Verwaltung für Linux Server und Remote Zugang über SSH

Ich bin gerade dabei ein Konzept zu erstellen, jedoch weiß ich nicht wie ich es realisieren soll bzw. ob es realisierbar ist.

Aufgabe:
Zukünftig sollen mehrerer identische Linux Server bei unterschiedlichen Standorten eingesetzt werden. Auf diesen Linux Rechner würden dann unterschiedliche Gruppen mit unterschiedlichen Rechten über Remote (SSH) zugreifen. Jedoch sollen sie auf jedem Server die gleichen Rechte haben und die User sollten zentral verwaltet werden.

BSP für erforderliche Rechte
Gruppe1: Lese-Rechte auf den var/log Ordner
Gruppe2: Schreib-Rechte und leserechte auf mehreren Ordner
Gruppe3: Schreib-Lese - und Execute Rechte auf die Ordner von User 2 und anderen Ordner


Geplantes Konzept
- Zentrale User Veraltung mittels LDAP Server (over SSL)
- Linux Server mit LDAP Client (PAM für SSH Access)
- Clients mit installierten SSH Client

Will sich nun ein User mittels SSH zu einem Server verbinden muss er Benutzername & Passwort am Server über SSH eingeben ums sich zu Authentisieren. Der Server überprüft die eingegeben Daten beim LDAP Server, sind die Daten gültig erlaubt der Server den Zugriff.

Jedoch, wie habe ich die Möglichkeit dass ich den eingeloggten User nur bestimmte Rechte auf Dateien und Ordner auf diesem Server vergebe? Ist dies über LDAP möglich?

Ist es erforderlich am Server lokal die gleichen Gruppen anzulegen wie am LDAP Server?


Realisiert sollten zukünftig: Max 100 Server, mit ca. 30 Usern.

Ich wäre sehr über Rat & Vorschläge erfreut.

Content-ID: 195273

Url: https://administrator.de/forum/zentrale-user-verwaltung-fuer-linux-server-und-remote-zugang-ueber-ssh-195273.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

DschinN
DschinN 03.12.2012 aktualisiert um 17:50:17 Uhr
Goto Top
wieso nicht samba ?


sollte doch mit chmod ganz easy zu lösen sein zumindest die rechte
maretz
maretz 03.12.2012 um 21:25:45 Uhr
Goto Top
öhm - samba? /var/log lässt eher auf einen Shell-Benutzer schließen…

Ich würde das ganze über einen LDAP erledigen - da hast du einmal den Aufwand der Installation und dann geht es relativ gut (beachte: wenn man LDAP kennt!!!!). Gruppen usw. machst du alles über LDAP. Kleiner Tipp nebenbei: Nen lokales Konto als Backup schadet trotzdem nie - nicht gleich das root-Konto sondern irgendein "Arbeitskonto" - falls der LDAP mal nicht erreichbar ist (z.B. Internetleitung weg) kann man da das PW rausgeben ohne gleich den Vollzugriff aufs System zu erlauben...
xpeperx
xpeperx 04.12.2012 um 07:42:24 Uhr
Goto Top
Danke für eure raschen Antworten

Local auf den Servern wäre eh geplant gewesen User für den Offline Betrieb einzurichten, damit auch jemand local falls die Verbindung zum LDAP Server unterbrochen wird zugegriffen werden kann.

Jedoch ist mir noch nicht ganz klar wie ich das mit den Zugriffsrechten realisieren kann.

BSP: auf dem Server werden user und die entsprechenden Gruppen eingerichtet, (schließlich sollen die Dienste nur unter Bestimmten Rechten laufen.

user gruppe Verzeichnis Rechte
________________________________________________
root root / rwx
webserver webserver /var/www rw
maintenance maintenance /var/log r
update update /var/www rwx
/etc/... rwx
...

Wie kann ich aber einen Bezug zu den User und Gruppen herstellen die sich über SSH verbinden und über LDAP authentisieren?
Kann man LDAP Server irgendwo parameter übergeben auf welchen Order der Zugriff gewährt wird??

In der Microsoft Welt ist das nach meines Wissens über Gruppenrichtlinien möglich, jedoch muss sich dabei der Client in einer Domaine befinden.

BSP: User Maier soll zur Gruppe Webserver gehören und nur dort local etwas ändern können.
User Lang soll zur Gruppe Maintenance gehören und nur die Log Dateien lese und auswerten können.
maretz
maretz 04.12.2012 um 16:58:02 Uhr
Goto Top
nun - da du die gruppen im ldap verwaltest hast du damit kein Problem... Vgl.: http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch31_:_ ... (Google, Linux ldap user management)

Wenn also ein User zur Gruppe "Webserver" gehört - dann kann er Daten für diese Gruppe ändern... Du solltest also gucken wie du die Gruppen benennst und welche User du wo zuordnest, aber das musst du bei solch einem System eh