Zum Inhalt springen

Zentralle Gruppenverwaltung mit LDAP


Empfohlene Beiträge

Geschrieben

HI @all,

hab mal wieder eine Frage zu LDAP. Die Zentrale userverwaltung über LDAP ist jetzt kein Problem mehr.

Ich würde jetzt auch auch die Gruppen zentral über den LDAP verwalten. Nun weiß ich noch nicht bzw. hab ich

noch nicht begrieffen wo ich die Gruppen hinstellen soll.

Ich hab mal zwei Schaubilder gezeichnet, so wie ich mir vorstelle das es richtig sein könnte.

Zum Schaubidl 1 (GRUPPE1):

Hier sind die Gruppen über alle Systeme.

Aber hier stellt sich auch die Frage, es sind ja nicht auf jedem System die gleichen Gruppen ?

Das würde beudeten, dass die Gruppen auf allen Systemen gleich sind. Das würde die Verwaltung vereinfachen

oder ? Verbessert mich bitte, wenn ich falsch liege.

Zum Schaubidl 2 (GRUPPE2):

Hier hat jedes System seine eigene gruppen. Dieser Ansatz scheint mir richtig zu sein. Jedes System, hat seine

eigenen Gruppen.

Wie hab ihr das Problem gelöst ? Danke schon mal im voraus.

Gruss

Merenda

post-25816-14430447239274_thumb.jpg

post-25816-14430447239678_thumb.jpg

Geschrieben

Also ich würde für meinetwegen jede Abteilung eine OU anlegen. Darunter dann die OUs "People" für die Userobjekte und "Resources" für Gruppen etc. Unter Recources könntest du zwecks Übersichtlichkeit natürlich noch "Groups" anlegen, falls da außer Gruppen noch Räume oser sowas verwaltet werden sollen..

Also in etwa so:

ou=Groups,ou=Recources,ou=Abteilung,o=Firma,c=de

ou=People,ou=Abteilung,o=Firma,c=de

Gruß

Geschrieben

Hi,

hab ein neues schaubild erstellt, hast du das so gemeint oder ... ?

Hier mal die Erklärung dazu:

c=de ==> Lokation

o=firma ==> Organisation

cn=admin ==> das ist der Administrator der über alles herscht

(So und nun geht es jetzt los):

ou=group ==> Das sind die Gruppen, die Standartmäsig beim SUSE Linux

schon dabei sind. Wie z.B. audio, mail, sys u.s.w.

Dieste Gruppen Stelle ich über alle Systeme, da Sie

überall dabei sein müssen (bzw. sollen).

ou=mars ==> Erste Testmaschiene die ich im einsatz habe.

ou=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die

"NUR" für den Rechner "mars" bestimmt sind.

ou=user (unter mars) ==> Hier Kommen die User rein, die "NUR" für den

Rechner "mars" bestimmt sind.

Und das gleiche mache ich dann für die anderen Systemen wie sxA z.B. und wenn noch weitere folgen für die dann auch.

Nach dem ich das eingerichtet habe, hab ich die Accessregeln festgelegt.

Ich bin dann auf der dem LDAP-Client hab in der /etc/nsswitch.con folgenden eintrag geändert:

group:  ldap
und wollt schauen ob er dann mit "getent group" mir die gruppen anzeigt, das macht er aber nicht Er sollte mir jetzt doch die Gruppen anzeigen ? Die Accessregeln habe ich auch schon angepasst:
### Gruppenrechte für ALLE Maschinen ###


access to dn.subtree="ou=group,o=firma,c=de"

  by dn.base="cn=admin,o=firma,c=de" write

  by * read

Hat jemand eine Ahnung was ich falsch gemacht haben könnte ?

DAnke schon mal im voraus.

Gruß

Merenda

Geschrieben
u=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die

"NUR" für den Rechner "mars" bestimmt sind.

Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen.

Geschrieben
Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen.

Hi,

sorry ... hab das nur gut gemeint :(

Ist das so besser ? Ich hab mal mein LDAP Baum Expotiert, dann kannst du mal sehen wie ich das aufgebaut habe:

version: 1


# LDIF Export von: 

# Erstellt von phpLDAPadmin ( http://phpldapadmin.sourceforge.net/ ) am September 16, 2005 1:13 pm

# Server: My LDAP Server (10.206.176.97)

# Suchbereich: sub

# Suchfilter: (objectClass=*)

# Anzahl der Eintraege: 66


# Eintrag 1: o=firma,c=de

dn: o=firma,c=de

objectClass: top

objectClass: organization

o: firma

description: TEST Firma


# Eintrag 2: cn=admin,o=firma,c=de

dn: cn=admin,o=firma,c=de

objectClass: top

objectClass: Person

cn: admin

sn: admin

description: LDAP-Administrator


# Eintrag 3: ou=Test-Systeme,o=firma,c=de

dn: ou=Test-Systeme,o=firma,c=de

ou: Test-Systeme

objectClass: top

objectClass: organizationalUnit


# Eintrag 4: ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=mars,ou=Test-Systeme,o=firma,c=de

ou: mars

objectClass: top

objectClass: organizationalUnit


# Eintrag 5: ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: sxA

objectClass: top

objectClass: organizationalUnit


# Eintrag 6: cn=replicationsadmin,o=firma,c=de

dn: cn=replicationsadmin,o=firma,c=de

cn: replicationsadmin

description: LDAP-Administrator

objectClass: top

objectClass: Person

sn: admin


# Eintrag 7: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

objectClass: top

objectClass: organizationalUnit

ou: Group


# Eintrag 8: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 9: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap mars_ldap

gidNumber: 10001

givenName: mars_ldap

homeDirectory: /home/mars_ldap

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap

uid: mars_ldap

uidNumber: 10001

userPassword: {crypt}F8x.JYcTqPCPU


# Eintrag 10: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap2

gidNumber: 10001

givenName: mars_ldap2

homeDirectory: /home/mars_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap2

uid: mars_ldap2

uidNumber: 10002

userPassword: test


# Eintrag 11: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap3

gidNumber: 10003

givenName: mars_ldap3

homeDirectory: /home/mars_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap3

uid: mars_ldap3

uidNumber: 10003

userPassword: test


# Eintrag 12: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap4

gidNumber: 10004

givenName: mars_ldap4

homeDirectory: /home/mars_ldap4

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap4

uid: mars_ldap4

uidNumber: 10004

userPassword: test


# Eintrag 13: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap5

gidNumber: 10006

givenName: mars_ldap5

homeDirectory: /home/mars_ldap5

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap5

uid: mars_ldap5

uidNumber: 10006

userPassword: TEST


# Eintrag 14: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 15: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap2

gidNumber: 10004

givenName: sxa_ldap2

homeDirectory: /home/sxa_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap2

uid: sxa_ldap2

uidNumber: 10004

userPassword: test


# Eintrag 16: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap3

gidNumber: 10006

givenName: sxa_ldap3

homeDirectory: /home/sxa_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap3

uid: sxa_ldap3

uidNumber: 10006

userPassword: test


# Eintrag 17: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap1

givenName: sxa_ldap1

sn: sxa_ldap1

cn: sxa_ldap1

userPassword: test

loginShell: /bin/bash

uidNumber: 10006

gidNumber: 10007

homeDirectory: /home/sxa_ldap1

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 18: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap4

givenName: sxa_ldap4

sn: sxa_ldap4

cn: sxa_ldap4

userPassword: TEST

loginShell: /bin/bash

uidNumber: 10009

gidNumber: 10009

homeDirectory: /home/sxa_ldap4

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 19: ou=group,o=firma,c=de

dn: ou=group,o=firma,c=de

ou: group

objectClass: top

objectClass: organizationalUnit


# Eintrag 20: cn=root,ou=group,o=firma,c=de

dn: cn=root,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: root

userPassword: {crypt}x

gidNumber: 0


# Eintrag 21: cn=bin,ou=group,o=firma,c=de

dn: cn=bin,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: bin

userPassword: {crypt}x

gidNumber: 1

memberUid: daemon


# Eintrag 22: cn=daemon,ou=group,o=firma,c=de

dn: cn=daemon,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: daemon

userPassword: {crypt}x

gidNumber: 2


# Eintrag 23: cn=sys,ou=group,o=firma,c=de

dn: cn=sys,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: sys

userPassword: {crypt}x

gidNumber: 3


# Eintrag 24: cn=tty,ou=group,o=firma,c=de

dn: cn=tty,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: tty

userPassword: {crypt}x

gidNumber: 5


# Eintrag 25: cn=disk,ou=group,o=firma,c=de

dn: cn=disk,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: disk

userPassword: {crypt}x

gidNumber: 6


# Eintrag 26: cn=lp,ou=group,o=firma,c=de

dn: cn=lp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: lp

userPassword: {crypt}x

gidNumber: 7


# Eintrag 27: cn=www,ou=group,o=firma,c=de

dn: cn=www,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: www

userPassword: {crypt}x

gidNumber: 8


# Eintrag 28: cn=kmem,ou=group,o=firma,c=de

dn: cn=kmem,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: kmem

userPassword: {crypt}x

gidNumber: 9


# Eintrag 29: cn=wheel,ou=group,o=firma,c=de

dn: cn=wheel,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: wheel

userPassword: {crypt}x

gidNumber: 10


# Eintrag 30: cn=mail,ou=group,o=firma,c=de

dn: cn=mail,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: mail

userPassword: {crypt}x

gidNumber: 12


# Eintrag 31: cn=news,ou=group,o=firma,c=de

dn: cn=news,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: news

userPassword: {crypt}x

gidNumber: 13


# Eintrag 32: cn=uucp,ou=group,o=firma,c=de

dn: cn=uucp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: uucp

userPassword: {crypt}x

gidNumber: 14

memberUid: kelsaess


# Eintrag 33: cn=shadow,ou=group,o=firma,c=de

dn: cn=shadow,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: shadow

userPassword: {crypt}x

gidNumber: 15


# Eintrag 34: cn=dialout,ou=group,o=firma,c=de

dn: cn=dialout,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: dialout

userPassword: {crypt}x

gidNumber: 16

memberUid: kelsaess

Einige Gruppen habe ich weg gelassen sonst wäre das zu viel geworden.

Danke und Gruss

Merenda

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...