Standardbenutzer

Aus CEPHALIX/CRANIX

1 Benutzer

1.1 Standardbenutzer

Während der Installation vom CRANIX werden mehrere Benutzer angelegt, die zur verschieden Funktionen des Servers notwendig sind:

Benutzername Rolle Berechtigung / Gruppenzugehörigkeit Funktion Bemerkung
root -- darf alles machen Systemadministration von der Linuxkonsole Nur direkte Anmeldung am CRANIX oder Fernwartung per ssh.
Administrator sysadmins Domain Administrator Verwaltung der Domäne, Webadministration Keine direkte Anmeldung am Server. Passwort nach der Installation identisch mit dem vom root . Ersetzt den Benutzer admin von OSS-3.4.2
register internal Administrators Ausführung automatischer Domänenadministration ( z.B. Domainbeitritt nach dem Klonen ) Erhält ein zufälliges Passwort während der Installation, welches in /opt/oss-java/conf/oss-api.properties gespeichert wird. Setzt man die Systemvariable RESET_REGISTER_PASSWORD auf yes, wird sein Passwort jeden Tag neu generiert um die Sicherheit des Systems zu erhöhen. Standardeinstellung ist no .
ossreader internal Domain User Ausführung automatischer Arbeiten, welche nur lesende Rechte benötigen. Passwort ist ossreader und darf nicht geändert werden.
cephalix internal Domain Administrator Verwaltung des Servers vom CEPHALIX-Server aus. Der CEPHALIX-Server greift über diesen Benutzer auf den Server zu. Alle Objekten (Benutzer, Gruppen, Softwares ...) die vom cephalix erstellt werden, können nur vom dem CEPHALIX Server aus verwaltet werden. Auch der Benutzer Administrator hat keinen Zugriff auf diese Objekte.
tteachers teachers Domain User, templates Templatebenutzer für die Lehrer. Beim Anlegen eines Lehrers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
tstudents students Domain User, templates Templatebenutzer für die Schüler. Beim Anlegen eines Schülers wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
tadministration administration Domain User, templates Templatebenutzer für die Verwaltung. Beim Anlegen eines Benutzers für die Verwaltung wird sein Homeverzeichnis in das Homeverzeichnis des neuen Benutzers kopiert.
tworkstations workstations Domain User, templates Templatebenutzer für die Arbeitsplatzbenutzer Bei der Registrierung eines Gerätes in einer Gerätekonfiguration des Typs FatClient wird ein Workstation-Benutzer mit dem Namen und Passwort des Gerätes erstellt. Dieser Benutzer kann sich nur an diesem Gerät anmelden.

1.2 Systembenutzer vs Samba-Benutzer

Normaler weise pflegt Linux die Systembenutzer UNIX-gemäß in der Dateien /etc/passwd und /etc/shadow. Nur der Benutzer root vom CRANIX server ist in diesen Dateien zu finden. Der CRANIX-Server ist ein AD-Samba-Server und die weitere Benutzer werden in der SAMBA-LDAP-Datenbank gespeichert. Damit diese auf Linux ebene auch sichtbar sind, wird auf dem SAMBA-Server auch der winbind Dienst gestartet. Diese sorgt dafür, dass die SAMBA-Benutzer und Gruppen-SIDs in UNIX uidNumber und gidNumber umgewandelt werden. Dies geschieht durch folgende Einstellungen in der Datei /etc/nsswitch.conf:

 passwd: compat winbind
 group:  compat winbind

Zwar sind die Benutzer auf dem CRANIX-Server sichtbar, die Dateien können zugeordnet werden, eine Authentisierung über Dienste die PAM-Schnittstelle abwickeln (ssh, login, sftp, ftp, cyrus ...) ist jedoch nicht möglich. Wenn Sie zum Beispiel den SAMBA-Benutzern auch ssh Zugang zum CRANIX-Server gewähren möchten, muss dafür auch PAM konfiguriert werden:

 pam-config -a --winbind