LDAP Gruppen

I

icecast

Member
Hallo,
ich habe ein Netzwerk mit produktiven Servern und ein paar Entwicklungsserver.
Jetzt möchte ich gerne per LDAP User Gruppen bilden die:
-generell Admins
- Admin auf entwicklungsmaschinen
- normale User

Wie realisiere ich das mit LDAP???
Mir ist halt nicht ganz klar wie ich den Rechnern beibringe ob sie produktiv oder entwicklung sind??

viele Grüße IceCast
 
Hallo Icecast,

ich habe ein Netzwerk mit produktiven Servern und ein paar Entwicklungsserver.
Jetzt möchte ich gerne per LDAP User Gruppen bilden die:
-generell Admins
- Admin auf entwicklungsmaschinen
- normale User
Zum Vergrößern anklicken....
Das kannst Du in UNIX sowieso nicht abbilden.
Du kannst Dir bei LDAP aber mittels host based authentification behelfen:
  • Gruppe prod_admin, entw_admin und users anlegen (Klassen: posixAccount, posixGroup)
  • Zusätzlich zu jeder Gruppe das Attribut host einbinden (Klasse: account)
  • In der LDAP-Konfiguration auf dem Client eintragen:
    Code: 
    pam_check_host_attr yes
pam_filter | (host=rechner.intranet.net)(host=\*)

Viele Grüße

JueDan
 
Mittels pam_ldap, nss_ldap und sudo sollten sich auch lokale Administratoren, die nicht vollständige Root-Rechte haben, abbilden lassen.

So long...

Der Indy
 
Die sudo(8) Regeln selbst, lassen sich ja auch in LDAP hinterlegen (habe ich noch nicht gemacht). Mit "normalen" Accounts + sudo (8) sollte das also sauber machbar sein.

Aber unbedingt LDAP Replication einrichten, sonst kann das boese enden :(
 
Hallo,
ich hatte folgende Idee.
Ich kann Doch eine OU=prod, OU=stage....
machen und dann auf den prod Servern gegen OU=prod authentifizieren und analog dazu auf stageservern gegen OU=stage?

Ich packe die User jewils noch in Gruppen die Sudo dürfen.

Ansatz 2:
Ich benutzte ein LDAP fähiges SUDO und erweitere das Schema.

Ansatz3 von JueDan muß ich noch verstehen ;o)


Die Frage ist für mich ob der Ansatz gegen unterschiedliche OUs zu authentifizieren überhaupt funktionieren kann???

Viele Grüße IceCast
 
Funktionieren wird das schon, finde ich aber ziemlich schizophren, multiple Identitaeten anzulegen.

Was spricht gegen einen LDAP Zwei fuer die User und mittels sudo wird den UID+HOSTNAME Kombinationen ein 'sudo -i' erlaubt, oder nicht.

(pam.d/su musst du dann noch pruefen, nicht, dass die ueberall root kriegen koennen)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben