Standardbenutzer: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 1: | Zeile 1: | ||
− | + | ==Benutzer== | |
− | + | ===Standardbenutzer=== | |
Während der Installation vom CRANIX werden mehrere Benutzer angelegt, die zur verschieden Funktionen des Servers notwendig sind: | Während der Installation vom CRANIX werden mehrere Benutzer angelegt, die zur verschieden Funktionen des Servers notwendig sind: | ||
Zeile 29: | Zeile 29: | ||
|} | |} | ||
− | + | ===Systembenutzer vs Samba-Benutzer=== | |
Normaler weise pflegt Linux die Systembenutzer UNIX-gemäß in der Dateien /etc/passwd und /etc/shadow. Nur der Benutzer '''root''' vom CRANIX server ist in diesen Dateien zu finden. Der CRANIX-Server ist ein AD-Samba-Server und die weitere Benutzer werden in der SAMBA-LDAP-Datenbank gespeichert. Damit diese auf Linux ebene auch sichtbar sind, wird auf dem SAMBA-Server auch der '''winbind''' Dienst gestartet. Diese sorgt dafür, dass die SAMBA-Benutzer und Gruppen-SIDs in UNIX '''uidNumber''' und '''gidNumber''' umgewandelt werden. Dies geschieht durch folgende Einstellungen in der Datei '''/etc/nsswitch.conf''': | Normaler weise pflegt Linux die Systembenutzer UNIX-gemäß in der Dateien /etc/passwd und /etc/shadow. Nur der Benutzer '''root''' vom CRANIX server ist in diesen Dateien zu finden. Der CRANIX-Server ist ein AD-Samba-Server und die weitere Benutzer werden in der SAMBA-LDAP-Datenbank gespeichert. Damit diese auf Linux ebene auch sichtbar sind, wird auf dem SAMBA-Server auch der '''winbind''' Dienst gestartet. Diese sorgt dafür, dass die SAMBA-Benutzer und Gruppen-SIDs in UNIX '''uidNumber''' und '''gidNumber''' umgewandelt werden. Dies geschieht durch folgende Einstellungen in der Datei '''/etc/nsswitch.conf''': | ||
passwd: compat winbind | passwd: compat winbind |
Version vom 28. September 2020, 12:12 Uhr
1 Benutzer
1.1 Standardbenutzer
Während der Installation vom CRANIX werden mehrere Benutzer angelegt, die zur verschieden Funktionen des Servers notwendig sind:
Benutzername | Rolle | Berechtigung / Gruppenzugehörigkeit | Funktion | Bemerkung |
---|---|---|---|---|
root | -- | darf alles machen | Systemadministration von der Linuxkonsole | Nur direkte Anmeldung am CRANIX oder Fernwartung per ssh. |
Administrator | sysadmins | Domain Administrator | Verwaltung der Domäne, Webadministration | Keine direkte Anmeldung am Server. Passwort nach der Installation identisch mit dem vom root . Ersetzt den Benutzer admin von OSS-3.4.2 |
register | internal | Administrators | Ausführung automatischer Domänenadministration ( z.B. Domainbeitritt nach dem Klonen ) | Erhält ein zufälliges Passwort während der Installation, welches in /opt/oss-java/conf/oss-api.properties gespeichert wird. Setzt man die Systemvariable RESET_REGISTER_PASSWORD auf yes, wird sein Passwort jeden Tag neu generiert um die Sicherheit des Systems zu erhöhen. Standardeinstellung ist no .
|
ossreader | internal | Domain User | Ausführung automatischer Arbeiten, welche nur lesende Rechte benötigen. | Passwort ist ossreader und darf nicht geändert werden. |
cephalix | internal | Domain Administrator | Verwaltung des Servers vom CEPHALIX-Server aus. | Der CEPHALIX-Server greift über diesen Benutzer auf den Server zu. Alle Objekten (Benutzer, Gruppen, Softwares ...) die vom cephalix erstellt werden, können nur vom dem CEPHALIX Server aus verwaltet werden. Auch der Benutzer Administrator hat keinen Zugriff auf diese Objekte. |
tteachers | teachers | Domain User, templates | Templatebenutzer für die Lehrer. | Beim Anlegen eines Lehrers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert. |
tstudents | students | Domain User, templates | Templatebenutzer für die Schüler. | Beim Anlegen eines Schülers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert. |
tadministration | administration | Domain User, templates | Templatebenutzer für die Verwaltung. | Beim Anlegen eines Benutzers für die Verwaltung wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert. |
tworkstations | workstations | Domain User, templates | Templatebenutzer für die Arbeitsplatzbenutzer | Bei der Registrierung eines Gerätes in einer Gerätekonfiguration des Typs FatClient wird ein Workstation-Benutzer mit dem Namen und Passwort des Gerätes erstellt. Dieser Benutzer kann sich nur an diesem Gerät anmelden. |
1.2 Systembenutzer vs Samba-Benutzer
Normaler weise pflegt Linux die Systembenutzer UNIX-gemäß in der Dateien /etc/passwd und /etc/shadow. Nur der Benutzer root vom CRANIX server ist in diesen Dateien zu finden. Der CRANIX-Server ist ein AD-Samba-Server und die weitere Benutzer werden in der SAMBA-LDAP-Datenbank gespeichert. Damit diese auf Linux ebene auch sichtbar sind, wird auf dem SAMBA-Server auch der winbind Dienst gestartet. Diese sorgt dafür, dass die SAMBA-Benutzer und Gruppen-SIDs in UNIX uidNumber und gidNumber umgewandelt werden. Dies geschieht durch folgende Einstellungen in der Datei /etc/nsswitch.conf:
passwd: compat winbind group: compat winbind
Zwar sind die Benutzer auf dem CRANIX-Server sichtbar, die Dateien können zugeordnet werden, eine Authentisierung über Dienste die PAM-Schnittstelle abwickeln (ssh, login, sftp, ftp, cyrus ...) ist jedoch nicht möglich. Wenn Sie zum Beispiel den SAMBA-Benutzern auch ssh Zugang zum CRANIX-Server gewähren möchten, muss dafür auch PAM konfiguriert werden:
pam-config -a --winbind