Alle Gruppen eines Benutzers ausgeben

german

#1

Hallo,

in einem UCS Samba4 AD habe ich zwei Gruppen (team-1 und jenkins-user) und einen Benutzer (tuser) angelegt.

Der Benutzer ‘tuser’ ist Mitglied von Gruppe ‘team-1’.
Die Gruppe ‘team-1’ ist Mitglied von Gruppe ‘jenkins-user’.

Wie kann ich mit ldapsearch entweder alle Gruppen des Benutzers (team-1,jenkins-users) bzw. alle Benutzer der Gruppe ‘jenkins-user’ (tuser) ausgeben?

(memberof=CN=jenkins-users,CN=Groups,DC=numberfour,DC=eu) ergibt CN=team-1,CN=Groups,DC=numberfour,DC=eu

(member=CN=tuser,CN=Users,DC=numberfour,DC=eu) ergibt CN=team-1,CN=Groups,DC=numberfour,DC=eu

Vielen Dank

Clifford


#2

Das debian Paket members listet dir alle Benutzer einer Gruppe. Alternativ auch nur die primären oder sekundären Mitglieder.
groups $USER listet alle Gruppen eines Benutzers auf.

Vllt. hilft dir das, auch wenn es kein ldapsearch ist.


#3

Danke für den Tipp. Allerdings hilft mir das nicht.

Ich hätte vielleicht den Hintergrund meiner Frage erklären sollen.

Ich teste gerade, ob wir UCS als Zentrale Benutzer Verwaltung für unsere intern genutzten Applikationen (Jira, Confluence, Jenkins, GitHub Enterprise, OpenVPN, …) einsetzen können.

Wir haben mehrere Teams mit unterschiedlichen Zugriffsrechten zu diesen Applikationen. Manche Teams dürfen/sollen nicht auf bestimmte Applikationen bzw. Teilbereiche der Applikation zugreifen können.

Um den Verwaltungsaufwand so gering, wie möglich zu halten, würde ich die Teams/Benuzter im UCS gerne so organisieren (vereinfacht dargestellt):

Team_1
  - Benutzer 1
  - Benutzer 2
Team 2
  - Benutzer 3
  - Benutzer 4
Jira_User
  - Team_1
Jenkins_User
  - Team_1
  - Team_2

Wenn ich jetzt dem Team 1 einen neuen Benutzer hinzufüge hat er Zugriff auf Jira und Jenkins.

Diese Hierarchie läßt sich wunderbar im UCS abbilden. Allerdings erschließt sich mir nicht, wie diese in den Applikationen genutzt werden kann.

Gruß

Clifford


#4

Du möchtest Gruppen ineinander verschachteln (group-of-groups bzw. nested groups). Das nutze ich bisher nicht.
Hier steht aber, dass das in UCS unterstützt wird: docs.software-univention.de/manu … -ldap:acls

Auf diese Weise gewähre ich allen Domänen Benutzer Zugriff auf meinen proxmox-Server (bzw. dem mod_proxy davor):

# Auschnitt aus einem Apache2.4 vHost (debian/jessie): <location /> AuthType Basic AuthName "Proxmox01 Anmeldung mit ucs-Benutzernamen" AuthBasicProvider ldap #AuthzLDAPAuthoritative on AuthLDAPURL "ldap://slave.DOMAIN.de:7389/dc=DOMAIN,dc=de?uid" AuthLDAPBindDN "uid=apacheauth,cn=users,dc=DOMAIN,dc=de" AuthLDAPBindPassword "$Bind!User" Require ldap-group cn=Domain Users,cn=groups,dc=DOMAIN,dc=de #require valid-user Order allow,deny Allow from all </location>
Anstelle von cn=Domain Users,cn=groups, ließe sich das auch auf cn=Jenkins_User,cn=groups, einschränken.