Entwicklungsumgebung/LDAP User

Aus Delixs
Zur Navigation springen Zur Suche springen


Diese Seite ist momentan eine Baustelle im Zustand: 1

Wird bearbeitet von: Kirmse
Hilfe zum Bearbeitungsstatus: Hilfe:Status eines Artikels


Hier in diesem Kapitel soll nichts installiert werden. Das Kapitel soll das Rollenkonzept erläutern, damit in den beiden folgenden Kapiteln LDAP und SAMBA dann Klarheit über die Bedeutung der Rollen herrscht.


konzeptionelle Überlegungen

wir haben im LDAP einen Baum (Struktur), die nun gefüllt werden soll. Fragt sich:

1. welche Accounts und Gruppen müssen angelegt werden, weil diese eben für einen geordneten Betrieb eines PDCs erwartet werden?

2. welche Berechtigungen sollen vergeben werden können und wie soll das geschehen?

3. welche Gruppen richten wir wie ein

Accounts und Gruppen

bei den smbldap-Tools gibt es ein Script, welches genau diese Aufgabe erledigen soll: smbldap-populate wir nutzen dieses, um eine "Population" für Samba zu erstellen. das ist aber nur eine Vorlage, d.h. wir verschieben die damit angelegten Entries dahin, wo wir es haben wollten.

Daraus wurde eine LDIF-Datei erstellt. Hinweis: die SID in diesem LDIF-File muss noch durch die aktuelle SID des Samba ersetzt werden!

Berechtigungen

Es sollte in Anlehnung an Arktur4 folgende Gruppen geben:

      hadmins (Hauptadmins), cadmins (Co-Admins), tadmins (Teiladmins)
      Gruppe material, Gruppe fachl (Fachlehrer)

Es sollen folgende Rechte damit verbunden sein:


            #        bei Schülern          #         bei Lehrern
   Gruppe   #                              #
            #    LDAP      | Homeverzeich. #    LDAP      | Homeverzeich.
------------------------------------------------------------------------
            #              |               #
   hadmin   # Schreibrecht | Schreibrecht  # Schreibrecht | Schreibrecht
            #              |               #              |
   cadmin   # Schreibrecht | Schreibrecht  #              |
            #              |               #              |
   tadmin   # Schreibrecht |               #              |
            #              |               #              |
   material #              | Schreibrecht  #              |
            #              |               #              |
   fachl    #              | Leserecht     #              |


ist aber noch nicht vollständig: es fehlen mir die raumadmins. Oder formulieren wir es mal anders: das hier sind die Berechtigungen für User. Es fehlen Berechtigungen für alles was mit Rechnern zu tun hat.

Es müßte die Tabelle noch nach rechts fortgesetzt werden, wobei eben diese Tabelle die linke Spalte für die User darstellt und daneben eben die für die Maschinen. für die Maschinen gibt es nur 2 Gruppen: die Raumadmins. die Rechte für die Raumadmins habe ich so vorgeschlagen:

      - Rechnern in die Domäne aufnehmen
      - Rechnern feste IPs vergeben
      - die (Samba-)Logfiles für die Rechner seines Raumes kontrollieren können

Ein Raumadmin hat (sollte) immer nur die Rechte für seine Rechner haben. Da es durchaus Sinn macht, "einen" Admin zu haben, der über den Raumadmins steht und Zugriff auf alle Rechner hat, würde ich dieses Recht auch noch den hadmin geben. Und den hadmin(s) würde ich noch ein Recht einräumen: Er kann die Berechtigungen für cadmin, tadmin, material und fachl vergeben.

Gruppeneinrichtung

1. Systemgruppen (wegen speziellen Accounts):

'wsusers'     ('platznutzer')      war 100  =>  1000
'teachers'    ('lehrer')           war 101  =>  1001
'students'   ('schueler')         war 102  =>  1002
'exams'       ('klausur')          war 199  =>  1003
'machines'   ('arbeitsstationen') war  97  =>  1004
'administration' ('tech. Personal')        =>  1005

2. Delixsgruppen:

'online'                          war 106  =>  1006
'material'                        war 107  =>  1007
'internet'                                 =>  1008
'www'                             war  99  =>  1009
'fachl'                                    =>  1010
'tadmin'                              ---  =>  1011
'cadmin'     (war 'admins')       war 105  =>  1012
'hadmin'                              ---  =>  1013


3. Systemgruppen (wegen Groupmapping) siehe bei Population erzeugen (Punkt 8)

Angedacht war, dass die UIDs für die machinen von 1000 bis 1999 gehen. Die UIDs für die 'people' sollten ab 2000 (bis 30000) vergeben werden. Da das (derzeit) über die smbldap-Tools noch nicht zu steuern ist, werden die UIDs für User und Maschinen einfach "automatisch" vergeben - also gemischt.

Rollen

Direkte Rollen

  • Lehrer (teachers)
  • Schüler (students)
  • Platznutzer (wsusers)
  • Klausurnutzer (exams)

Erweiterte Rollen

  • fachl
  • material
  • tadmin
  • cadmin
  • hadmin

Berechtigungen

  • z.B. Lehrer: dürfen auf dem Tauschlaufwerk lesen und schreiben ...


Verzeichnisse unterhalb /home

 /home                    | Das Homeverzeichnis
 /home/administration     | Die technischen Kräfte (Sekretärin, Hausmeister, Imbiss..)
 /home/all                | Tauschverzeichnis für alle
 /home/archiv             | Daten gelöschter Accounts
 /home/classes            | Schnellzugriff durch Verlinkung zu den Schüler-Homes
 /home/exams              | Klausurzugänge
 /home/fog                | Imaging mit FOG
 /home/ftp                | Homeverzeichnis von proftp
 /home/groups             | Tauschverzeichnis für Gruppen und Projekte
 /home/profile            | Aufbewahrung von Nutzerprofilen
 /home/service            | Homeverzeichnisse für systemnahe Nutzer (sysadm, service-Zugang, devel..)
 /home/software           | Installation serverbasierter Software und CD/DVD-Server
 /home/students           | Homeverzeichnisse aller Schüler
 /home/teachers           | Homeverzeichnisse aller Lehrer
 /home/wsusers            | Homeverzeichnisse der Arbeitsplatznutzer
 /home/www                | Intranetseiten des Schulservers (incl. Link nach /var/www)


Weblinks



zurück | Hauptseite

Hans-Dietrich Kirmse, Uwe Schoffer 2009