https://wiki.sachsen.schule/dwiki/index.php?action=history&feed=atom&title=Lenny%2FACL_EinrichtungLenny/ACL Einrichtung - Versionsgeschichte2026-05-01T02:23:15ZVersionsgeschichte dieser Seite in DelixsMediaWiki 1.44.0https://wiki.sachsen.schule/dwiki/index.php?title=Lenny/ACL_Einrichtung&diff=8192&oldid=prevSchoffer: Lenny2011-03-27T22:01:31Z<p>Lenny</p>
<p><b>Neue Seite</b></p><div>__NOTOC__<br />
{{Archiv}}<br />
<br />
<br />
== ACLs im Filesystem (für SAMBA und NFS) ==<br />
<br />
Wir wollen, das die Gruppe der "Domänen Administratoren" volle Kontrolle erhält. Mitglieder dieser Gruppe sollen alle Dateien, in allen Freigaben bearbeiten und vor allem auch die Rechte setzen dürfen. Dazu setzen wir eine "Default-ACL" auf /home:<br />
<br />
setfacl -R -m default:mask::rwx /home<br />
setfacl -R -m default:group:domainadmins:rwx /home<br />
<br />
<br />
<br />
== ACLs im LDAP ==<br />
<br />
Die Datei "slap-acl_0.1.tgz" enthält:<br />
<br />
-rw-r--r-- root/root 887 2009-04-12 22:11 ./root/new-teacher<br />
-rw-r--r-- root/root 887 2009-04-12 22:11 ./root/new-student<br />
-rwxr--r-- root/root 405 2009-04-05 17:01 ./root/user.sh<br />
-rw-r--r-- root/root 4491 2009-04-12 22:09 ./etc/ldap/slapd.conf<br />
-rw------- root/root 3439 2009-04-12 22:09 ./etc/ldap/slapd.acl-db1<br />
<br />
Die Datei "slapd.conf" bitte vor dem Entpacken des Archivs sichern.<br />
<br />
Änderungen in der slapd.conf:<br />
<br />
# defaultsearchbase hinzugefügt, damit erspart man sich die Eingabe einer searchbase bei den LDAP-Clients<br />
# Monitor & Config Backend eingerichtet (rudimentär)<br />
# Das "unique-overlay" hinzugefügt für die Attribute (Felder) "uid" und "cn". Die Vergabe von gleichen Namen für Personen, Accounts und Gruppen wird jetzt vom Server abgelehnt.<br />
# Auslagerung der ACLs in eine eigene Datei<br />
<br />
<br />
Das Script "user.sh" legt für die Gruppen je einen Benutzer an:<br />
<br />
<pre><br />
Benutzer Gruppe<br />
ha hadmin<br />
ca cadmin<br />
ta tadmin<br />
ma material<br />
fa fachl<br />
</pre><br />
<br />
<br />
'''Achtung:''' Im LDAP wurde die Gruppe "Domain Admins" in "DomainAdmins" umbenannt!<br />
<br />
<br />
Die Funktionalität sollte sein, wie hier beschrieben:<br />
<br />
* http://www.arktur.th.schule.de/doku/samba.txt<br />
<br />
zwei zusätzliche Einträge gibt es noch.<br />
<br />
# DomainAdmins dürfen dasselbe wie die Gruppe hadmin<br />
# In der Rolle "cn=admin,dc=delixs-schule,dc=de" eingetragene Benutzer erhalten Vollzugriff auf den LDAP-Baum.<br />
<br />
<br />
=== Einrichtung der ACLs ===<br />
<br />
<br />
Vorab sollten Sie einen "shell-alias" zum vereinfachten Suchen einstellen:<br />
<br />
alias lds='ldapsearch -x -LLL '<br />
<br />
Die geänderten Einträge im LDAP sehen so aus:<br />
<br />
<br />
<pre><br />
[root@alix ~]# lds cn=admin<br />
dn: cn=admin,dc=delixs-schule,dc=de<br />
objectClass: simpleSecurityObject<br />
objectClass: organizationalRole<br />
cn: admin<br />
description: LDAP administrator<br />
roleOccupant: uid=root,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
[root@alix ~]# lds cn=domainadmins<br />
dn: cn=DomainAdmins,ou=groups,dc=delixs-schule,dc=de<br />
objectClass: top<br />
objectClass: posixGroup<br />
objectClass: sambaGroupMapping<br />
gidNumber: 512<br />
cn: DomainAdmins<br />
description: Netbios Domain Administrators<br />
sambaSID: S-1-5-21-2105935012-446678297-1863235838-512<br />
sambaGroupType: 2<br />
displayName: Domain Admins<br />
memberUid: dmax<br />
</pre><br />
<br />
=== Test der Rechte ===<br />
<br />
==== Hier einige Kommandos zum Test ====<br />
<br />
<br />
* "cadmin" darf Schüler hinzufügen<br />
<br />
ldapadd -D uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule -x -f new-student adding new entry "uid=new-s,ou=people,ou=accounts,dc=delixs-schule,dc=de"<br />
<br />
<br />
* "hadmin" löscht Schüler<br />
<br />
ldapdelete -D uid=ha,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule -x uid=new-s,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
* cadmin versucht einen Lehrer-Account zu erstellen, das wird aber verweigert<br />
<br />
ldapadd -D uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule -x -f new-teacher adding new entry "uid=new-t,ou=people,ou=accounts,dc=delixs-schule,dc=de"<br />
ldap_add: Insufficient access (50)<br />
additional info: no write access to entry<br />
<br />
<br />
* "hadmin" erstellt neuen Lehrer Account<br />
<br />
ldapadd -D uid=ha,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule -x -f new-teacher adding new entry "uid=new-t,ou=people,ou=accounts,dc=delixs-schule,dc=de"<br />
<br />
<br />
* "hadmin" löscht Lehrer<br />
<br />
ldapdelete -D uid=ha,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule -x uid=new-t,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
==== Zugriff auf das Passwort (userPassword) testen ====<br />
<br />
<br />
* Ein Lehrer Account<br />
<br />
id dmax<br />
uid=1005(dmax) gid=1001(teacher) Gruppen=1001(teacher),1013(hadmin),512(DomainAdmins)<br />
<br />
<br />
* Ein Schüler Account<br />
<br />
id mmax<br />
uid=1003(mmax) gid=1002(students) Gruppen=1002(students)<br />
<br />
<br />
* anoymous hat keinen (lesenden) Zugriff auf das Passwort<br />
<br />
lds uid=ca userPassword<br />
dn: uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
* ca darf sein eigenes Passwort lesen<br />
<br />
lds -D uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=ca userPassword<br />
dn: uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
userPassword:: e1NTSEF9bklTeVJGcG5Nc2R1NHRHTGw5eFFXVDhUL0tuZUhIR0Q=<br />
<br />
<br />
* ca hat keinen Zugriff auf das Passwort von fa<br />
<br />
lds -D uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=fa userPassword<br />
dn: uid=fa,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
* dito für das Passwort von dmax<br />
<br />
lds -D uid=ca,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=dmax userPassword<br />
dn: uid=dmax,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
* ha darf natürlich das Passwort von dmax lesen<br />
<br />
lds -D uid=ha,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=dmax userPassword<br />
dn: uid=dmax,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
userPassword:: e1NTSEF9enJrR2NDcEpHQ0h6dVVGZXBtKzNHSXdSN3lITEJwZlo=<br />
<br />
<br />
* ta darf das nicht, weil dmax ja ein Lehrer ist<br />
<br />
lds -D uid=ta,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=dmax userPassword<br />
dn: uid=dmax,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
<br />
<br />
* ta hat Zugriff auf ein Schülerpasswort<br />
<br />
lds -D uid=ta,ou=people,ou=accounts,dc=delixs-schule,dc=de -w schule uid=mmax userPassword<br />
dn: uid=mmax,ou=people,ou=accounts,dc=delixs-schule,dc=de<br />
userPassword:: e1NTSEF9dGhOLzBxWFBCNXBTSDN1bWZoVUN5U0ZSZ0c2RnNZUXU=<br />
<br />
<br />
'''Anmerkung:''' Lesender Zugriff auf Passwörter ist generell natürlich nicht zu empfehlen. Zum Testen des Zugriffs aber durchaus brauchbar. Im Augenblick steht daher in den ACLs "write" als Zugriffsrecht, das wird später durch das restriktivere "wx" ersetzt. Damit ist dann nur noch "ändern" und "anmelden", aber nicht mehr "lesen" erlaubt.<br />
<br />
<br />
== Weblinks ==<br />
<br />
* FAQ zum Thema sets: http://www.openldap.org/faq/data/cache/1133.html<br />
* FAQ zum Thema sets: http://www.openldap.org/faq/data/cache/1134.html <br />
* FAQ zum Thema manage: http://www.openldap.org/faq/data/cache/189.html<br />
<br />
<br />
<br />
----<br />
<div align="right">[[Lenny:Entwicklungsumgebung|zurück]] | [[Hauptseite]]</div><br />
<br />
Harry Jede, Uwe Schoffer 2009<br />
<br />
[[Kategorie:ArchivDebianLenny]]</div>Schoffer