merenda Geschrieben 15. September 2005 Geschrieben 15. September 2005 HI @all, hab mal wieder eine Frage zu LDAP. Die Zentrale userverwaltung über LDAP ist jetzt kein Problem mehr. Ich würde jetzt auch auch die Gruppen zentral über den LDAP verwalten. Nun weiß ich noch nicht bzw. hab ich noch nicht begrieffen wo ich die Gruppen hinstellen soll. Ich hab mal zwei Schaubilder gezeichnet, so wie ich mir vorstelle das es richtig sein könnte. Zum Schaubidl 1 (GRUPPE1): Hier sind die Gruppen über alle Systeme. Aber hier stellt sich auch die Frage, es sind ja nicht auf jedem System die gleichen Gruppen ? Das würde beudeten, dass die Gruppen auf allen Systemen gleich sind. Das würde die Verwaltung vereinfachen oder ? Verbessert mich bitte, wenn ich falsch liege. Zum Schaubidl 2 (GRUPPE2): Hier hat jedes System seine eigene gruppen. Dieser Ansatz scheint mir richtig zu sein. Jedes System, hat seine eigenen Gruppen. Wie hab ihr das Problem gelöst ? Danke schon mal im voraus. Gruss Merenda Zitieren
mr-blister Geschrieben 15. September 2005 Geschrieben 15. September 2005 Also ich würde für meinetwegen jede Abteilung eine OU anlegen. Darunter dann die OUs "People" für die Userobjekte und "Resources" für Gruppen etc. Unter Recources könntest du zwecks Übersichtlichkeit natürlich noch "Groups" anlegen, falls da außer Gruppen noch Räume oser sowas verwaltet werden sollen.. Also in etwa so: ou=Groups,ou=Recources,ou=Abteilung,o=Firma,c=de ou=People,ou=Abteilung,o=Firma,c=de Gruß Zitieren
merenda Geschrieben 15. September 2005 Autor Geschrieben 15. September 2005 Hi, also würdest du auch Schaubild 2 Anwenden ? Merenda Zitieren
merenda Geschrieben 16. September 2005 Autor Geschrieben 16. September 2005 Hi, hab ein neues schaubild erstellt, hast du das so gemeint oder ... ? Hier mal die Erklärung dazu: c=de ==> Lokation o=firma ==> Organisation cn=admin ==> das ist der Administrator der über alles herscht (So und nun geht es jetzt los): ou=group ==> Das sind die Gruppen, die Standartmäsig beim SUSE Linux schon dabei sind. Wie z.B. audio, mail, sys u.s.w. Dieste Gruppen Stelle ich über alle Systeme, da Sie überall dabei sein müssen (bzw. sollen). ou=mars ==> Erste Testmaschiene die ich im einsatz habe. ou=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die "NUR" für den Rechner "mars" bestimmt sind. ou=user (unter mars) ==> Hier Kommen die User rein, die "NUR" für den Rechner "mars" bestimmt sind. Und das gleiche mache ich dann für die anderen Systemen wie sxA z.B. und wenn noch weitere folgen für die dann auch. Nach dem ich das eingerichtet habe, hab ich die Accessregeln festgelegt. Ich bin dann auf der dem LDAP-Client hab in der /etc/nsswitch.con folgenden eintrag geändert:group: ldap und wollt schauen ob er dann mit "getent group" mir die gruppen anzeigt, das macht er aber nicht Er sollte mir jetzt doch die Gruppen anzeigen ? Die Accessregeln habe ich auch schon angepasst:### Gruppenrechte für ALLE Maschinen ### access to dn.subtree="ou=group,o=firma,c=de" by dn.base="cn=admin,o=firma,c=de" write by * readHat jemand eine Ahnung was ich falsch gemacht haben könnte ? DAnke schon mal im voraus. Gruß Merenda Zitieren
mr-blister Geschrieben 16. September 2005 Geschrieben 16. September 2005 u=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die "NUR" für den Rechner "mars" bestimmt sind. Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen. Zitieren
merenda Geschrieben 16. September 2005 Autor Geschrieben 16. September 2005 Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen. Hi, sorry ... hab das nur gut gemeint Ist das so besser ? Ich hab mal mein LDAP Baum Expotiert, dann kannst du mal sehen wie ich das aufgebaut habe:version: 1 # LDIF Export von: # Erstellt von phpLDAPadmin ( http://phpldapadmin.sourceforge.net/ ) am September 16, 2005 1:13 pm # Server: My LDAP Server (10.206.176.97) # Suchbereich: sub # Suchfilter: (objectClass=*) # Anzahl der Eintraege: 66 # Eintrag 1: o=firma,c=de dn: o=firma,c=de objectClass: top objectClass: organization o: firma description: TEST Firma # Eintrag 2: cn=admin,o=firma,c=de dn: cn=admin,o=firma,c=de objectClass: top objectClass: Person cn: admin sn: admin description: LDAP-Administrator # Eintrag 3: ou=Test-Systeme,o=firma,c=de dn: ou=Test-Systeme,o=firma,c=de ou: Test-Systeme objectClass: top objectClass: organizationalUnit # Eintrag 4: ou=mars,ou=Test-Systeme,o=firma,c=de dn: ou=mars,ou=Test-Systeme,o=firma,c=de ou: mars objectClass: top objectClass: organizationalUnit # Eintrag 5: ou=sxA,ou=Test-Systeme,o=firma,c=de dn: ou=sxA,ou=Test-Systeme,o=firma,c=de ou: sxA objectClass: top objectClass: organizationalUnit # Eintrag 6: cn=replicationsadmin,o=firma,c=de dn: cn=replicationsadmin,o=firma,c=de cn: replicationsadmin description: LDAP-Administrator objectClass: top objectClass: Person sn: admin # Eintrag 7: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de dn: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de objectClass: top objectClass: organizationalUnit ou: Group # Eintrag 8: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de ou: user objectClass: top objectClass: organizationalUnit # Eintrag 9: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de cn: mars_ldap mars_ldap gidNumber: 10001 givenName: mars_ldap homeDirectory: /home/mars_ldap loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: mars_ldap uid: mars_ldap uidNumber: 10001 userPassword: {crypt}F8x.JYcTqPCPU # Eintrag 10: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de cn: mars_ldap2 gidNumber: 10001 givenName: mars_ldap2 homeDirectory: /home/mars_ldap2 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: mars_ldap2 uid: mars_ldap2 uidNumber: 10002 userPassword: test # Eintrag 11: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de cn: mars_ldap3 gidNumber: 10003 givenName: mars_ldap3 homeDirectory: /home/mars_ldap3 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: mars_ldap3 uid: mars_ldap3 uidNumber: 10003 userPassword: test # Eintrag 12: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de cn: mars_ldap4 gidNumber: 10004 givenName: mars_ldap4 homeDirectory: /home/mars_ldap4 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: mars_ldap4 uid: mars_ldap4 uidNumber: 10004 userPassword: test # Eintrag 13: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de dn: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de cn: mars_ldap5 gidNumber: 10006 givenName: mars_ldap5 homeDirectory: /home/mars_ldap5 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: mars_ldap5 uid: mars_ldap5 uidNumber: 10006 userPassword: TEST # Eintrag 14: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de dn: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de ou: user objectClass: top objectClass: organizationalUnit # Eintrag 15: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de dn: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de cn: sxa_ldap2 gidNumber: 10004 givenName: sxa_ldap2 homeDirectory: /home/sxa_ldap2 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: sxa_ldap2 uid: sxa_ldap2 uidNumber: 10004 userPassword: test # Eintrag 16: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de dn: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de cn: sxa_ldap3 gidNumber: 10006 givenName: sxa_ldap3 homeDirectory: /home/sxa_ldap3 loginShell: /bin/bash objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson shadowExpire: -1 shadowFlag: 0 shadowInactive: -1 shadowMax: 999999 shadowMin: -1 shadowWarning: 7 sn: sxa_ldap3 uid: sxa_ldap3 uidNumber: 10006 userPassword: test # Eintrag 17: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de dn: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de uid: sxa_ldap1 givenName: sxa_ldap1 sn: sxa_ldap1 cn: sxa_ldap1 userPassword: test loginShell: /bin/bash uidNumber: 10006 gidNumber: 10007 homeDirectory: /home/sxa_ldap1 shadowMin: -1 shadowMax: 999999 shadowWarning: 7 shadowInactive: -1 shadowExpire: -1 shadowFlag: 0 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson # Eintrag 18: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de dn: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de uid: sxa_ldap4 givenName: sxa_ldap4 sn: sxa_ldap4 cn: sxa_ldap4 userPassword: TEST loginShell: /bin/bash uidNumber: 10009 gidNumber: 10009 homeDirectory: /home/sxa_ldap4 shadowMin: -1 shadowMax: 999999 shadowWarning: 7 shadowInactive: -1 shadowExpire: -1 shadowFlag: 0 objectClass: top objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: inetOrgPerson # Eintrag 19: ou=group,o=firma,c=de dn: ou=group,o=firma,c=de ou: group objectClass: top objectClass: organizationalUnit # Eintrag 20: cn=root,ou=group,o=firma,c=de dn: cn=root,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: root userPassword: {crypt}x gidNumber: 0 # Eintrag 21: cn=bin,ou=group,o=firma,c=de dn: cn=bin,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: bin userPassword: {crypt}x gidNumber: 1 memberUid: daemon # Eintrag 22: cn=daemon,ou=group,o=firma,c=de dn: cn=daemon,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: daemon userPassword: {crypt}x gidNumber: 2 # Eintrag 23: cn=sys,ou=group,o=firma,c=de dn: cn=sys,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: sys userPassword: {crypt}x gidNumber: 3 # Eintrag 24: cn=tty,ou=group,o=firma,c=de dn: cn=tty,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: tty userPassword: {crypt}x gidNumber: 5 # Eintrag 25: cn=disk,ou=group,o=firma,c=de dn: cn=disk,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: disk userPassword: {crypt}x gidNumber: 6 # Eintrag 26: cn=lp,ou=group,o=firma,c=de dn: cn=lp,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: lp userPassword: {crypt}x gidNumber: 7 # Eintrag 27: cn=www,ou=group,o=firma,c=de dn: cn=www,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: www userPassword: {crypt}x gidNumber: 8 # Eintrag 28: cn=kmem,ou=group,o=firma,c=de dn: cn=kmem,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: kmem userPassword: {crypt}x gidNumber: 9 # Eintrag 29: cn=wheel,ou=group,o=firma,c=de dn: cn=wheel,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: wheel userPassword: {crypt}x gidNumber: 10 # Eintrag 30: cn=mail,ou=group,o=firma,c=de dn: cn=mail,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: mail userPassword: {crypt}x gidNumber: 12 # Eintrag 31: cn=news,ou=group,o=firma,c=de dn: cn=news,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: news userPassword: {crypt}x gidNumber: 13 # Eintrag 32: cn=uucp,ou=group,o=firma,c=de dn: cn=uucp,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: uucp userPassword: {crypt}x gidNumber: 14 memberUid: kelsaess # Eintrag 33: cn=shadow,ou=group,o=firma,c=de dn: cn=shadow,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: shadow userPassword: {crypt}x gidNumber: 15 # Eintrag 34: cn=dialout,ou=group,o=firma,c=de dn: cn=dialout,ou=group,o=firma,c=de objectClass: posixGroup objectClass: top cn: dialout userPassword: {crypt}x gidNumber: 16 memberUid: kelsaess Einige Gruppen habe ich weg gelassen sonst wäre das zu viel geworden. Danke und Gruss Merenda Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.