|
|
| Zeile 1: |
Zeile 1: |
| − | ==Benutzer==
| |
| − | ===Standardbenutzer===
| |
| − | Während der Installation vom CRANIX werden mehrere Benutzer angelegt, die zur verschieden Funktionen des Servers notwendig sind:
| |
| | | | |
| − | {|class="wikitable" style="text-align: left;"
| |
| − | ! Benutzername !! Rolle !! Berechtigung / Gruppenzugehörigkeit !! Funktion !! Bemerkung
| |
| − | |-
| |
| − | | root || -- || darf alles machen || Systemadministration von der Linuxkonsole || Nur direkte Anmeldung am CRANIX oder Fernwartung per ssh.
| |
| − | |-
| |
| − | | Administrator || sysadmins || Domain Administrator || Verwaltung der Domäne, Webadministration || Keine direkte Anmeldung am Server. Passwort nach der Installation identisch mit dem vom '''root''' . Ersetzt den Benutzer '''admin''' von OSS-3.4.2
| |
| − | |-
| |
| − | | register
| |
| − | | internal
| |
| − | | Administrators
| |
| − | | Ausführung automatischer Domänenadministration ( z.B. Domainbeitritt nach dem Klonen )
| |
| − | | Erhält ein zufälliges Passwort während der Installation, welches in <code>/opt/oss-java/conf/oss-api.properties</code> gespeichert wird. Setzt man die Systemvariable '''RESET_REGISTER_PASSWORD''' auf '''yes''', wird sein Passwort jeden Tag neu generiert um die Sicherheit des Systems zu erhöhen. Standardeinstellung ist '''no''' .
| |
| − | |-
| |
| − | | ossreader || internal || Domain User || Ausführung automatischer Arbeiten, welche nur lesende Rechte benötigen. || Passwort ist '''ossreader''' und darf nicht geändert werden.
| |
| − | |-
| |
| − | | cephalix || internal || Domain Administrator || Verwaltung des Servers vom CEPHALIX-Server aus. || Der CEPHALIX-Server greift über diesen Benutzer auf den Server zu. Alle Objekten (Benutzer, Gruppen, Softwares ...) die vom '''cephalix''' erstellt werden, können nur vom dem CEPHALIX Server aus verwaltet werden. Auch der Benutzer '''Administrator''' hat keinen Zugriff auf diese Objekte.
| |
| − | |-
| |
| − | | tteachers || teachers || Domain User, templates || Templatebenutzer für die Lehrer. || Beim Anlegen eines Lehrers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
| |
| − | |-
| |
| − | | tstudents || students || Domain User, templates || Templatebenutzer für die Schüler. || Beim Anlegen eines Schülers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
| |
| − | |-
| |
| − | | tadministration || administration || Domain User, templates || Templatebenutzer für die Verwaltung. || Beim Anlegen eines Benutzers für die Verwaltung wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
| |
| − | |-
| |
| − | | tworkstations || workstations || Domain User, templates || Templatebenutzer für die Arbeitsplatzbenutzer || Bei der Registrierung eines Gerätes in einer Gerätekonfiguration des Typs '''FatClient''' wird ein Workstation-Benutzer mit dem Namen und Passwort des Gerätes erstellt. Dieser Benutzer kann sich nur an diesem Gerät anmelden.
| |
| − | |}
| |
| − |
| |
| − | ===Systembenutzer vs Samba-Benutzer===
| |
| − | Normaler weise pflegt Linux die Systembenutzer UNIX-gemäß in der Dateien /etc/passwd und /etc/shadow. Nur der Benutzer '''root''' vom CRANIX server ist in diesen Dateien zu finden. Der CRANIX-Server ist ein AD-Samba-Server und die weitere Benutzer werden in der SAMBA-LDAP-Datenbank gespeichert. Damit diese auf Linux ebene auch sichtbar sind, wird auf dem SAMBA-Server auch der '''winbind''' Dienst gestartet. Diese sorgt dafür, dass die SAMBA-Benutzer und Gruppen-SIDs in UNIX '''uidNumber''' und '''gidNumber''' umgewandelt werden. Dies geschieht durch folgende Einstellungen in der Datei '''/etc/nsswitch.conf''':
| |
| − | passwd: compat winbind
| |
| − | group: compat winbind
| |
| − |
| |
| − | Zwar sind die Benutzer auf dem CRANIX-Server sichtbar, die Dateien können zugeordnet werden, eine Authentisierung über Dienste die PAM-Schnittstelle abwickeln (ssh, login, sftp, ftp, cyrus ...) ist jedoch nicht möglich. Wenn Sie zum Beispiel den SAMBA-Benutzern auch ssh Zugang zum CRANIX-Server gewähren möchten, muss dafür auch PAM konfiguriert werden:
| |
| − | pam-config -a --winbind
| |
