Www-data einer LDAP Gruppe als Mitglied hinzufügen


#1

Hallo zusammen,

Ich müsste für eine WebDav Anwendung den user www-data einer LDAP Gruppe zuweisen, um die entsprechenden Rechte am Filesystem sicherzustellen.

Der Befehl usermod -aG Gruppe www-data wird zwar ohne Fehler ausgeführt, aber er führt keine Änderungen durch.

Hat wer eine Idee?

mfG ST. Katzinger


#3

Hallo @skatz,

Es wäre super, wenn du einen Blick auf die FAQs/Posting Guidelines werfen würdest :slight_smile: Damit mehr Leute was von deiner Frage und einer möglichen Lösung haben, wäre folgendes wichtig:

  • Verwendung von Tags
  • Nennung der eingesetzten UCS-Version
  • Verwendung von Englisch

Viel Spaß weiterhin auf Univention Help,
Michael Grandjean


#4

Hallo!

Vielen Dank für die Rückantworten und die Hinweise.

Da ich jetzt schon Deutsch begonnen habe, bleibe ich da jetzt mal dabei, aber fürs nächste Mal weiß ich es und werd in Englisch schreiben und Tags ergänzen.

Meine eingesetzte UCS-Version ist 4.2

Die beschrieben Lösung ist mir klar, aber passt nicht ganz zum Problem. - Sorry falls ich mich nicht genau ausgedrückt habe.

Konkret: Ich habe einen user “www-data” (Standarduser im passwd-File) und möchte diesen einer LDAP-Gruppe zuweisen, welche POSIX Berechtigungen auf einen bestimmten Ordner hat, sodass der Apache-Dienst Zugriff auf diesen Ordner hat.

Vielen Dank!


#5

Ah okay, da hatte ich Sie falsch verstanden. Leider ist mir kein Weg bekannt einen lokalen, nicht-LDAP Benutzer einer LDAP Gruppe hinzuzufügen. “usermod” kann eine LDAP-Gruppe nicht verändern ist (und Benutzer hinzufügen oder entfernen) und kann nur lokale Gruppen verändern.

Es ist eventuell möglich (das ist aber nur eine Idee - habe ich nicht ausprobiert) eine lokale Gruppe mit demselben Namen und GID anzulegen:

# man groupadd
# groupadd -h
# groupadd -g GID ... -o

Es kann sein, dass die memberlisten dann verknüpft werden. Dann den www-data der lokalen Gruppe hinzufügen.


#6

Generell ist das in der Tat nicht möglich.

Wenn es um Dateiberechtigungen geht, empfehle ich statt dessen die Verwendung von ACLs. Vergeben Sie via ACLs schlicht Lese-/Schreibrechte sowohl für die LDAP-Gruppe als auch für den User www-data.

Beispiel (ungetestet):

find /pfad -type d -exec setfacl -m u:www-data:rwX,d:u:www-data:rwX,g:die-gruppe:rwX,d:g:die-gruppe:rwX {} \+
find /pfad -type f -exec setfacl -m u:www-data:rwX,g:die-gruppe:rwX {} \+
chmod -R g+w /pfad