Entwicklungsumgebung/LDAP User
Diese Seite ist momentan eine Baustelle im Zustand: 1
-
0
-
1
-
2
-
3
-
4
Hier in diesem Kapitel soll nichts installiert werden. Das Kapitel soll das Rollenkonzept erläutern, damit in den beiden folgenden Kapiteln LDAP und SAMBA dann Klarheit über die Bedeutung der Rollen herrscht.
konzeptionelle Überlegungen
wir haben im LDAP einen Baum (Struktur), die nun gefüllt werden soll. Fragt sich:
1. welche Accounts und Gruppen müssen angelegt werden, weil diese eben für einen geordneten Betrieb eines PDCs erwartet werden?
2. welche Berechtigungen sollen vergeben werden können und wie soll das geschehen?
3. welche Gruppen richten wir wie ein
Accounts und Gruppen
bei den smbldap-Tools gibt es ein Script, welches genau diese Aufgabe erledigen soll: smbldap-populate wir nutzen dieses, um eine "Population" für Samba zu erstellen. das ist aber nur eine Vorlage, d.h. wir verschieben die damit angelegten Entries dahin, wo wir es haben wollten.
Daraus wurde eine LDIF-Datei erstellt. Hinweis: die SID in diesem LDIF-File muss noch durch die aktuelle SID des Samba ersetzt werden!
Berechtigungen
Es sollte in Anlehnung an Arktur4 folgende Gruppen geben:
hadmins (Hauptadmins), cadmins (Co-Admins), tadmins (Teiladmins) Gruppe material, Gruppe fachl (Fachlehrer)
Es sollen folgende Rechte damit verbunden sein:
# bei Schülern # bei Lehrern Gruppe # # # LDAP | Homeverzeich. # LDAP | Homeverzeich.
------------------------------------------------------------------------ # | # hadmin # Schreibrecht | Schreibrecht # Schreibrecht | Schreibrecht # | # | cadmin # Schreibrecht | Schreibrecht # | # | # | tadmin # Schreibrecht | # | # | # | material # | Schreibrecht # | # | # | fachl # | Leserecht # |
ist aber noch nicht vollständig: es fehlen mir die raumadmins. Oder
formulieren wir es mal anders: das hier sind die Berechtigungen für
User. Es fehlen Berechtigungen für alles was mit Rechnern zu tun hat.
Es müßte die Tabelle noch nach rechts fortgesetzt werden, wobei eben diese Tabelle die linke Spalte für die User darstellt und daneben eben die für die Maschinen. für die Maschinen gibt es nur 2 Gruppen: die Raumadmins. die Rechte für die Raumadmins habe ich so vorgeschlagen:
- Rechnern in die Domäne aufnehmen - Rechnern feste IPs vergeben - die (Samba-)Logfiles für die Rechner seines Raumes kontrollieren können
Ein Raumadmin hat (sollte) immer nur die Rechte für seine Rechner haben. Da es durchaus Sinn macht, "einen" Admin zu haben, der über den Raumadmins steht und Zugriff auf alle Rechner hat, würde ich dieses Recht auch noch den hadmin geben. Und den hadmin(s) würde ich noch ein Recht einräumen: Er kann die Berechtigungen für cadmin, tadmin, material und fachl vergeben.
Gruppeneinrichtung
1. Systemgruppen (wegen speziellen Accounts):
'wsusers' ('platznutzer') war 100 => 1000 'teachers' ('lehrer') war 101 => 1001 'students' ('schueler') war 102 => 1002 'exams' ('klausur') war 199 => 1003 'machines' ('arbeitsstationen') war 97 => 1004 'administration' ('tech. Personal') => 1005
2. Delixsgruppen:
'online' war 106 => 1006 'material' war 107 => 1007 'internet' => 1008 'www' war 99 => 1009 'fachl' => 1010 'tadmin' --- => 1011 'cadmin' (war 'admins') war 105 => 1012 'hadmin' --- => 1013
3. Systemgruppen (wegen Groupmapping) siehe bei Population erzeugen (Punkt 8)
Angedacht war, dass die UIDs für die machinen von 1000 bis 1999 gehen. Die UIDs für die 'people' sollten ab 2000 (bis 30000) vergeben werden. Da das (derzeit) über die smbldap-Tools noch nicht zu steuern ist, werden die UIDs für User und Maschinen einfach "automatisch" vergeben - also gemischt.
Rollen
Direkte Rollen
- Lehrer (teachers)
- Schüler (students)
- Platznutzer (wsusers)
- Klausurnutzer (exams)
Erweiterte Rollen
- fachl
- material
- tadmin
- cadmin
- hadmin
Berechtigungen
- z.B. Lehrer: dürfen auf dem Tauschlaufwerk lesen und schreiben ...
Verzeichnisse unterhalb /home
/home | Das Homeverzeichnis /home/administration | Die technischen Kräfte (Sekretärin, Hausmeister, Imbiss..) /home/all | Tauschverzeichnis für alle /home/archiv | Daten gelöschter Accounts /home/classes | Schnellzugriff durch Verlinkung zu den Schüler-Homes /home/exams | Klausurzugänge /home/fog | Imaging mit FOG /home/ftp | Homeverzeichnis von proftp /home/groups | Tauschverzeichnis für Gruppen und Projekte /home/profile | Aufbewahrung von Nutzerprofilen /home/service | Homeverzeichnisse für systemnahe Nutzer (sysadm, service-Zugang, devel..) /home/software | Installation serverbasierter Software und CD/DVD-Server /home/students | Homeverzeichnisse aller Schüler /home/teachers | Homeverzeichnisse aller Lehrer /home/wsusers | Homeverzeichnisse der Arbeitsplatznutzer /home/www | Intranetseiten des Schulservers (incl. Link nach /var/www)
Weblinks
Hans-Dietrich Kirmse, Uwe Schoffer 2009