Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Zentralle Gruppenverwaltung mit LDAP

Gast merenda
Gast merenda
in Linux

Empfohlene Antworten

HI @all,

hab mal wieder eine Frage zu LDAP. Die Zentrale userverwaltung über LDAP ist jetzt kein Problem mehr.

Ich würde jetzt auch auch die Gruppen zentral über den LDAP verwalten. Nun weiß ich noch nicht bzw. hab ich

noch nicht begrieffen wo ich die Gruppen hinstellen soll.

Ich hab mal zwei Schaubilder gezeichnet, so wie ich mir vorstelle das es richtig sein könnte.

Zum Schaubidl 1 (GRUPPE1):

Hier sind die Gruppen über alle Systeme.

Aber hier stellt sich auch die Frage, es sind ja nicht auf jedem System die gleichen Gruppen ?

Das würde beudeten, dass die Gruppen auf allen Systemen gleich sind. Das würde die Verwaltung vereinfachen

oder ? Verbessert mich bitte, wenn ich falsch liege.

Zum Schaubidl 2 (GRUPPE2):

Hier hat jedes System seine eigene gruppen. Dieser Ansatz scheint mir richtig zu sein. Jedes System, hat seine

eigenen Gruppen.

Wie hab ihr das Problem gelöst ? Danke schon mal im voraus.

Gruss

Merenda

post-25816-14430447239274_thumb.jpg

post-25816-14430447239678_thumb.jpg

Also ich würde für meinetwegen jede Abteilung eine OU anlegen. Darunter dann die OUs "People" für die Userobjekte und "Resources" für Gruppen etc. Unter Recources könntest du zwecks Übersichtlichkeit natürlich noch "Groups" anlegen, falls da außer Gruppen noch Räume oser sowas verwaltet werden sollen..

Also in etwa so:

ou=Groups,ou=Recources,ou=Abteilung,o=Firma,c=de

ou=People,ou=Abteilung,o=Firma,c=de

Gruß

Hi,

also würdest du auch Schaubild 2 Anwenden ?

Merenda

Hi,

hab ein neues schaubild erstellt, hast du das so gemeint oder ... ?

Hier mal die Erklärung dazu:

c=de ==> Lokation

o=firma ==> Organisation

cn=admin ==> das ist der Administrator der über alles herscht

(So und nun geht es jetzt los):

ou=group ==> Das sind die Gruppen, die Standartmäsig beim SUSE Linux

schon dabei sind. Wie z.B. audio, mail, sys u.s.w.

Dieste Gruppen Stelle ich über alle Systeme, da Sie

überall dabei sein müssen (bzw. sollen).

ou=mars ==> Erste Testmaschiene die ich im einsatz habe.

ou=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die

"NUR" für den Rechner "mars" bestimmt sind.

ou=user (unter mars) ==> Hier Kommen die User rein, die "NUR" für den

Rechner "mars" bestimmt sind.

Und das gleiche mache ich dann für die anderen Systemen wie sxA z.B. und wenn noch weitere folgen für die dann auch.

Nach dem ich das eingerichtet habe, hab ich die Accessregeln festgelegt.

Ich bin dann auf der dem LDAP-Client hab in der /etc/nsswitch.con folgenden eintrag geändert:

group:  ldap
und wollt schauen ob er dann mit "getent group" mir die gruppen anzeigt, das macht er aber nicht Er sollte mir jetzt doch die Gruppen anzeigen ? Die Accessregeln habe ich auch schon angepasst:
### Gruppenrechte für ALLE Maschinen ###


access to dn.subtree="ou=group,o=firma,c=de"

  by dn.base="cn=admin,o=firma,c=de" write

  by * read

Hat jemand eine Ahnung was ich falsch gemacht haben könnte ?

DAnke schon mal im voraus.

Gruß

Merenda

u=group (unter mars) ==> Hier Trage ich dann die Gruppen ein die

"NUR" für den Rechner "mars" bestimmt sind.

Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen.

Mach dir bitte die Arbeit und schreibe immer den DN. Konstrukte wie "Gruppe(unter mars)" verursachen einem Kopfschmerzen.

Hi,

sorry ... hab das nur gut gemeint :(

Ist das so besser ? Ich hab mal mein LDAP Baum Expotiert, dann kannst du mal sehen wie ich das aufgebaut habe:

version: 1


# LDIF Export von: 

# Erstellt von phpLDAPadmin ( http://phpldapadmin.sourceforge.net/ ) am September 16, 2005 1:13 pm

# Server: My LDAP Server (10.206.176.97)

# Suchbereich: sub

# Suchfilter: (objectClass=*)

# Anzahl der Eintraege: 66


# Eintrag 1: o=firma,c=de

dn: o=firma,c=de

objectClass: top

objectClass: organization

o: firma

description: TEST Firma


# Eintrag 2: cn=admin,o=firma,c=de

dn: cn=admin,o=firma,c=de

objectClass: top

objectClass: Person

cn: admin

sn: admin

description: LDAP-Administrator


# Eintrag 3: ou=Test-Systeme,o=firma,c=de

dn: ou=Test-Systeme,o=firma,c=de

ou: Test-Systeme

objectClass: top

objectClass: organizationalUnit


# Eintrag 4: ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=mars,ou=Test-Systeme,o=firma,c=de

ou: mars

objectClass: top

objectClass: organizationalUnit


# Eintrag 5: ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: sxA

objectClass: top

objectClass: organizationalUnit


# Eintrag 6: cn=replicationsadmin,o=firma,c=de

dn: cn=replicationsadmin,o=firma,c=de

cn: replicationsadmin

description: LDAP-Administrator

objectClass: top

objectClass: Person

sn: admin


# Eintrag 7: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=Group,ou=mars,ou=Test-Systeme,o=firma,c=de

objectClass: top

objectClass: organizationalUnit

ou: Group


# Eintrag 8: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 9: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap mars_ldap

gidNumber: 10001

givenName: mars_ldap

homeDirectory: /home/mars_ldap

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap

uid: mars_ldap

uidNumber: 10001

userPassword: {crypt}F8x.JYcTqPCPU


# Eintrag 10: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap2,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap2

gidNumber: 10001

givenName: mars_ldap2

homeDirectory: /home/mars_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap2

uid: mars_ldap2

uidNumber: 10002

userPassword: test


# Eintrag 11: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap3,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap3

gidNumber: 10003

givenName: mars_ldap3

homeDirectory: /home/mars_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap3

uid: mars_ldap3

uidNumber: 10003

userPassword: test


# Eintrag 12: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap4,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap4

gidNumber: 10004

givenName: mars_ldap4

homeDirectory: /home/mars_ldap4

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap4

uid: mars_ldap4

uidNumber: 10004

userPassword: test


# Eintrag 13: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

dn: uid=mars_ldap5,ou=user,ou=mars,ou=Test-Systeme,o=firma,c=de

cn: mars_ldap5

gidNumber: 10006

givenName: mars_ldap5

homeDirectory: /home/mars_ldap5

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: mars_ldap5

uid: mars_ldap5

uidNumber: 10006

userPassword: TEST


# Eintrag 14: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

ou: user

objectClass: top

objectClass: organizationalUnit


# Eintrag 15: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap2,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap2

gidNumber: 10004

givenName: sxa_ldap2

homeDirectory: /home/sxa_ldap2

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap2

uid: sxa_ldap2

uidNumber: 10004

userPassword: test


# Eintrag 16: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap3,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

cn: sxa_ldap3

gidNumber: 10006

givenName: sxa_ldap3

homeDirectory: /home/sxa_ldap3

loginShell: /bin/bash

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

shadowExpire: -1

shadowFlag: 0

shadowInactive: -1

shadowMax: 999999

shadowMin: -1

shadowWarning: 7

sn: sxa_ldap3

uid: sxa_ldap3

uidNumber: 10006

userPassword: test


# Eintrag 17: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap1,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap1

givenName: sxa_ldap1

sn: sxa_ldap1

cn: sxa_ldap1

userPassword: test

loginShell: /bin/bash

uidNumber: 10006

gidNumber: 10007

homeDirectory: /home/sxa_ldap1

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 18: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

dn: uid=sxa_ldap4,ou=user,ou=sxA,ou=Test-Systeme,o=firma,c=de

uid: sxa_ldap4

givenName: sxa_ldap4

sn: sxa_ldap4

cn: sxa_ldap4

userPassword: TEST

loginShell: /bin/bash

uidNumber: 10009

gidNumber: 10009

homeDirectory: /home/sxa_ldap4

shadowMin: -1

shadowMax: 999999

shadowWarning: 7

shadowInactive: -1

shadowExpire: -1

shadowFlag: 0

objectClass: top

objectClass: person

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson


# Eintrag 19: ou=group,o=firma,c=de

dn: ou=group,o=firma,c=de

ou: group

objectClass: top

objectClass: organizationalUnit


# Eintrag 20: cn=root,ou=group,o=firma,c=de

dn: cn=root,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: root

userPassword: {crypt}x

gidNumber: 0


# Eintrag 21: cn=bin,ou=group,o=firma,c=de

dn: cn=bin,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: bin

userPassword: {crypt}x

gidNumber: 1

memberUid: daemon


# Eintrag 22: cn=daemon,ou=group,o=firma,c=de

dn: cn=daemon,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: daemon

userPassword: {crypt}x

gidNumber: 2


# Eintrag 23: cn=sys,ou=group,o=firma,c=de

dn: cn=sys,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: sys

userPassword: {crypt}x

gidNumber: 3


# Eintrag 24: cn=tty,ou=group,o=firma,c=de

dn: cn=tty,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: tty

userPassword: {crypt}x

gidNumber: 5


# Eintrag 25: cn=disk,ou=group,o=firma,c=de

dn: cn=disk,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: disk

userPassword: {crypt}x

gidNumber: 6


# Eintrag 26: cn=lp,ou=group,o=firma,c=de

dn: cn=lp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: lp

userPassword: {crypt}x

gidNumber: 7


# Eintrag 27: cn=www,ou=group,o=firma,c=de

dn: cn=www,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: www

userPassword: {crypt}x

gidNumber: 8


# Eintrag 28: cn=kmem,ou=group,o=firma,c=de

dn: cn=kmem,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: kmem

userPassword: {crypt}x

gidNumber: 9


# Eintrag 29: cn=wheel,ou=group,o=firma,c=de

dn: cn=wheel,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: wheel

userPassword: {crypt}x

gidNumber: 10


# Eintrag 30: cn=mail,ou=group,o=firma,c=de

dn: cn=mail,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: mail

userPassword: {crypt}x

gidNumber: 12


# Eintrag 31: cn=news,ou=group,o=firma,c=de

dn: cn=news,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: news

userPassword: {crypt}x

gidNumber: 13


# Eintrag 32: cn=uucp,ou=group,o=firma,c=de

dn: cn=uucp,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: uucp

userPassword: {crypt}x

gidNumber: 14

memberUid: kelsaess


# Eintrag 33: cn=shadow,ou=group,o=firma,c=de

dn: cn=shadow,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: shadow

userPassword: {crypt}x

gidNumber: 15


# Eintrag 34: cn=dialout,ou=group,o=firma,c=de

dn: cn=dialout,ou=group,o=firma,c=de

objectClass: posixGroup

objectClass: top

cn: dialout

userPassword: {crypt}x

gidNumber: 16

memberUid: kelsaess

Einige Gruppen habe ich weg gelassen sonst wäre das zu viel geworden.

Danke und Gruss

Merenda

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Konto

Navigation

Suchen

Suchen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.