Hallo Holger, Am 11.10.2015 um 23:15 schrieb Holger Baumhof:
ich persöhnlich halte es für eine ganz schlechte Idee den linuxadmin auf dem Server an zu legen: was soll das bringen?
auch wenn ich keine Linuxmuster-Lösung einsetze, aber da ich doch schon seit geraumer Zeit hier mitlese, bin ich mir sehr sicher, dass die Grundinstallation von euern LDAP irgendwie durch die smbldap-tools erstellt worden ist oder doch zumindest an diese angelehnt worden ist. Dabei wird (üblicherweise) der Befehl smbldap-populate verwendet und im LDAP werden die Strukturen für eine Samba-Domäne erzeugt. Und dabei wird ein Account 'root' im LDAP erstellt. Und dieser Account kann als root-Account auf den Clients verwendet werden, genauer: m.E. ist er dafür da, auf den Clients als root-Account verwendet zu werden. ich habe mal diesen root-Account im LDAP exportiert und diese Datei angehängt.
Auf den Punkt gebracht: der "Quasi-Standard" ist m.E., dass der root-Account für die Clients im LDAP und damit auf dem Server vorhanden ist. Bedeutet für mich, es sieht für mich danach aus, dass das "offiziell" anders gesehen werden könnte.
Der linuxadmin ist der lokale Admin auf dem Linuxclient: und was passiert am CLient jetzt, wenn du dich anmeldest während du mit dem Netz verbunden bist?
Wenn dieser linuxadmin ein root-Account ist/wäre, dann hat man auf dem Client eben root-Rechte und kann damit alles machen.
Meldest du dich als lokaler linuxadmin oder als Domänenlinuxadmin an? Kannst du das unterscheiden?
Ich kann das wieder nur für den root im LDAP angeben, was aber für mich der angedachte root für die Linux-Clients ist:
Man meldet sich an der Domäne an (also Login 'root' und das zugehörige Passwort aus dem LDAP, was in diesem Fall das Windows-Passwort ist). Aber dann bist du ja auf dem Linux-Client mit der UID 0 unterwegs und wirst wohl kein Rechteproblem respektive Passwort brauchen. Aber, nur mal angenommen, ihr hättet Anmeldezwang am Proxy konfiguriert und Squid würde dazu auf den LDAP zugreifen (ist bei uns so): wenn du dann mal von deinem Clients aus den Browser aufmachen würdest und würdest dich in dem Anmeldefenster als root und dem entsprechenden Passwort anmelden, dann würde hier das Linux-Passwort zur Anwendung kommen.
Passiert das mal so mal so?
Wie schon angegeben, ich kann es nur für den root im LDAP sagen, müßte aber für den 'linuxadmin' genauso sein: wenn ich mich als root an der Domäne anmelde, dann bin ich als der root vom LDAP unterwegs (also der vom Server). Melde ich mich als root direkt am Client an, dann bin ich als root vom Client unterwegs. Wie gesagt: ich sehe als Außenstehender nicht, dass die Verwendung eines anderen Accounts statt root da einen Unterschied macht (es sei denn er ist speziell eingerichtet, davon habe ich aber in eurer Doku nichts gefunden).
Warum sollte ich mich all diesen Fragen aussetzen.
Die Fragen machen ja als Anwender auch keinen Sinn, denn man ist immer mit der UID 0 unterwegs. Allerdings hat das in Hinsicht der Verwaltung der Passwörter für die Entwickler schon Konsequenzen - Stichwort Syncronisation.
Auch wenn es mir nur um eine "Analogie-Betrachtung" linuxadmin - root ging, würde mich mal interessieren, ob es bei euch im LDAP den root-Account gibt. Wenn ja, wozu wird der genutzt und wie wird mit dem Passwort von diesem root umgegangen? Wenn es diesen Account im LDAP nicht gibt, hat sich die Frage natürlich erledigt. Wäre aber über eine entsprechende Rückmeldung sehr dankbar.
Viele Grüße Hans-Dietrich
dn: uid=root,ou=people,ou=accounts,dc=erasmus-reinhold-gymnasium,dc=de cn: root sn: root objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount uid: root uidNumber: 0 gidNumber: 0 homeDirectory: /root sambaPrimaryGroupSID: S-1-5-21-2572584063-1625862463-3502403051-512 sambaSID: S-1-5-21-2572584063-1625862463-3502403051-1000 gecos: Netbios Domain root shadowMax: 10000 sambaLogonTime: 0 sambaLogoffTime: 1537495483 sambaKickoffTime: 1537495483 structuralObjectClass: inetOrgPerson entryUUID: 17acfe68-b777-1032-845f-4da621aea96b creatorsName: cn=admin,dc=erasmus-reinhold-gymnasium,dc=de createTimestamp: 20130922020443Z sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000 00000000 sambaLMPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX sambaNTPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX sambaPwdLastSet: 1379816742 shadowLastChange: 15970 sambaPwdMustChange: 1537496742 userPassword:: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX loginShell: /bin/false sambaAcctFlags: [DU ] entryCSN: 20130922022624.450191Z#000000#000#000000 modifiersName: cn=admin,dc=erasmus-reinhold-gymnasium,dc=de modifyTimestamp: 20130922022624Z
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
