Hallo,
ich habe UCS2.2 im Einsatz und ich würde gerne Unix (AIX/Solaris/Linux) Benutzer gegen UCS-LDAP/Kerberos authentifizieren. Pro Server müssen aber nur einigen Benutzer aktiv sein, d.H. nicht alle Benutzer dürfen auf alle Server zugreifen.
Wie kann man so was in UCS/LDAP modellieren? Ich würde natürlich diese Infos (welche Users sind für einen bestimmten Server freigeschaltet) auch in LDAP haben, und nicht lokal auf jedem Server.
Vielen Dank,
Bogdan
Hallo,
soll die Authentifikation gegen das LDAP erfolgen, kann das gewünschte Verhalten z.B. über Gruppenzugehörigkeiten, Spezielle Attribute an den Benutzer-Objekten oder über zusätzliche Container (welche dann als LDAP-Suchbasis auf den externen Systemen konfiguriert werden können) hergestellt werden
Mit freundlichen Grüßen
Janis Meybohm
Hallo,
gibt es irgendwelche Beispiele für solche Konfigurationen?
Gibt es Standard Tools (oder Verfahren in der Univention Console) mit den nur bestimmten Benutzer-Gruppen für einen Server freigeschaltet werden können?
Wie können zusätzliche Containers angelegt werden, und was passiert mit den Benutzer, die auf mehreren Server zugreifen müssen? Müssen sie in jedem Container angelegt werden?
Vielen Dank für die Hilfe,
Bogdan Taru
Hallo,
ein Beispiel für eine solche Konfiguration existiert momentan nicht, da Anforderung und Umsetzung in den unterschiedlichen Umgebungen vermutlich zu stark variieren. Aus diesem Grund gibt es auch keine allgemein gültigen Programme um Benutzer für den Zugriff auf externe Server freizuschalten.
Grundlegende Informationen zur Anbindung externer Systeme finden Sie im Dokument “Linux/Unix Systeme”, das Sie unter univention.de/doku_admin.html beziehen können.
LDAP-Container können über die Navigation im Univention Directory Manager angelegt werden, näheres dazu ist im aktuellen UCS Handbuch unter “Navigation / LDAP-Browser” zu finden.
Das Anlegen mehrerer gleichnamiger Benutzer in verschiedenen Containern ist standardmäßig nicht möglich. Um den Benutzerzugriff auf mehrere externe Server zu steuern, sind u.U. Benutzerdefinierte Attribute im Univention Directory Manager, sowie ein entsprechender LDAP-Suchfilter auf den externen Systemen, die beste alternative. Nähere Informationen zum anlegen und pflegen Benutzerdefinierter Attribute finden Sie im aktuellen UCS Handbuch im gleichnamigen Kapitel sowie in dem folgenden Artikel unserer Supportdatenbank:
sdb.univention.de/content/3/38/d … ibuts.html?
Mit freundlichen Grüßen
Janis Meybohm
Hallo,
ich habe folgendes versucht:
Eine Gruppe “testgroup” angelegt:
dn: cn=testgroup,cn=groups,dc=univention,dc=test
sambaGroupType: 2
cn: testgroup
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
gidNumber: 5014
sambaSID: S-1-5-21-2372661250-4045106160-2216705257-11029
description: Users on testgroup
Einen Benutzer “test1” angelegt und die “testgroup” als zusätzliche Gruppe für diesen Benutzer Eingetragen:
$ id -a test1
uid=2007(test1) gid=5001(Domain Users) groups=5001(Domain Users),5014(testgroup)
Wir wollen folgendes erreichen: nur die Benutzer, die zu dieser Gruppe gehören (z.B. “test1”):
Scheint dass der Konfigurations-Parameter “nss_base_passwd” in /etc/ldap.conf ist was wir brauchen, wie sollten wir aber diesen Parameter setzen?
Wir haben es auch versucht, den Parameter “pam_groupdn” in /etc/ldap.conf zu setzen, die Benutzer werden aber weiterhin in dem Output von “getent passwd” angezeigt, nur die Authentifizierung schlägt fehl.
Viele Grüße,
Bogdan Taru
Hallo,
vermutlich ist das von Ihnen gewünschte Ziel am einfachsten über Custom-Attributes zu lösen, da diese z.B. in der libnss_ldap.conf über einen LDAP-Suchfilter abgefragt werden können.
Ein vollständiges Konfigurationsbeispiel können wir aufgrund der unterschiedlichen Anforderungen jedoch nicht geben.
Mit freundlichen Grüßen
Janis Meybohm