Hey Leute,
ich habe gerade in einem Projekt eine zentrale Benutzerverwaltung mit Kerberos, LDAP und NFS zurechtgemacht. Die Komponenten laufen auch wunderbar. Allerdings habe ich nun festgestellt, dass die LDAP-Benutzer USB-Sticks nicht einbinden können. Ich habe auch rausbekommen, dass es daran liegt, dass sie nicht in der Gruppe plugdev sind. Ich habe testweise mal einen Ldap-User in die /etc/groups bei plugdev eingetragen und schon funktionierte es. Allerdings ist das ja schwachsinn, wenn ich das auf jedem Rechner mache. Meine Frage:
Kann man eine gesamte Gruppe auch plugdev zuordnen? Meine User gehören alle der Gruppe "student" an, so dass dies die einfachste Lösung wäre?
Oder kann man LDAP-Benutzern mehrere Gruppen zuweisen? Ich habe eine LDAP-Gruppe "plugdev" mit gid=46 zurecht gemacht, aber ich weiß nicht, wie ich einen Benutzer zusätzlich dort reinpacke.
Oder gibt es noch einen anderen Ansatz? Ist echt superwichtig. Vielen Dank schonmal im Voraus.
kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
-
McAldo
- Moderator
- Beiträge: 2069
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
Eine Gruppe einer Gruppe zuordnen geht m.W. nicht. Aber du kannst im LDAP die Gruppe plugdev anlegen und dieser User zuordnen. Wichtig ist dabei aber, dass auf allen System plugdev die selbe ID hat. Um User im LDAP zu verwalten kannst du z.B. den LDAP-Account-Manager verwenden. Ein super Tool und einfach zu bedienen.
Viele Grüße
McAldo
Viele Grüße
McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
-
Saxman
- Beiträge: 4233
- Registriert: 02.05.2005 21:53:52
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: localhost
Re: kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
Ich kann das bestätigen, das geht in der Tat nicht.McAldo hat geschrieben:Eine Gruppe einer Gruppe zuordnen geht m.W. nicht.
"Unix is simple. It just takes a genius to understand its simplicity." - Dennis Ritchie
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Debian GNU/Linux Anwenderhandbuch | df.de Verhaltensregeln | Anleitungen zum Review und zum Verfassen von Wiki Artikeln.
Re: kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
Genau dieses Problem habe ich auch,
doch erlaubt mir der LAM nicht, Benutzergruppen mit einer ID < 500 anzulegen
doch erlaubt mir der LAM nicht, Benutzergruppen mit einer ID < 500 anzulegen
-
McAldo
- Moderator
- Beiträge: 2069
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Re: kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
Das hängt von der Konfiguration des LAM ab.TBT hat geschrieben:Genau dieses Problem habe ich auch,
doch erlaubt mir der LAM nicht, Benutzergruppen mit einer ID < 500 anzulegen
Man könnte das aber auch manuell ins LDAP packen.
McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Re: kein Zugriff auf USB-Stick bei Benutzerverwaltung mit LDAP
seit lenny soll 'group of groups' funktionieren! Ich bleibe euch den Beweis vorerst schuldig, ich muss mich mal durch unser Mailarchiv wühlen.Saxman hat geschrieben:Ich kann das bestätigen, das geht in der Tat nicht.McAldo hat geschrieben:Eine Gruppe einer Gruppe zuordnen geht m.W. nicht.
EDIT:fündig geworden:
Die Datei /etc/libnss-ldap.conf muss diese beiden Einträge enthalten:
nss_schema rfc2307bis
nss_map_attribute uniqueMember member
Gruppendefinition im LDAP
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: extensibleObject
Einträge für Gruppenmitglieder erfolgen nicht mehr im Feld memberUid, sondern als vollständige DN im Feld member.
statt:
memberuid: Benutzer1
memberuid: Benutzer2
nun:
member: uid=Benutzer1,ou=angestellte,o=firma,dc=xx
member: uid=Benutzer2,ou=chefs,o=firma,dc=xx
Auch Gruppen dürfen eingetragen werden:
member: cn=dolleGruppe,ou=Gruppen,o=firma,dc=xx
Ich habs selbst nicht verifiziert, ich traue aber der 'Informationsquelle'
