joe2017
Goto Top

Ubuntu 16.04 LDAP USER-GRUPPEN und lokale Gruppen Berechtigungen

Ich habe ein Problem zbw. weiß nicht wo ich ansetzen soll.

Ich habe einen LDAP Server (Ubuntu 16.04) und einen Client (Ubuntu 16.04) im Einsatz.
Auf meinem LDAP Server habe ich diverse Gruppen und Benutzer angelegt.
  • admin
  • user

Wenn meine Benutzer nicht Mitglied der Gruppe "user" oder "admin" sind, können diese sich nicht am Client anmelden.
Hierfür habe ich in folgender Datei die folgenden Einträge hinterlegt.
/etc/security/access.conf
* +:user:ALL 
* +:admin:ALL

Jetzt möchte ich jedoch verhindern, dass einige Bnutzer auf USB Sticks, CD/DVD oder Disketten Laufwerke zugreifen können.
Hierfür gibt es einige lokale Gruppen wie z.B. cdrom (groupid 24) und plugdev (groupid 46) welche für diese Berechtigungen vorgesehen sind.

Wie kann ich jedoch einen LDAP Benutzer aus einer solchen Gruppe entfernen?
Bzw. wie kann ich eine LDAP Gruppe einschränken?

Es handelt sich lediglich um eine angelegte LDAP GRUPPE. Soweit ich weiß, verfügen diese nicht über derartige Berechtigungen.
Wenn ich mich mit einem User an einem Client anmelde, wird lediglich der LDAP USER in der zugehörigen LDAP GRUPPE angemeldet.
Wie kann ich für diesen LDAP USER die lokalen Berechtigungen einschränken. Das ist doch sicherlich keine ungewöhnliche Anforderung.

Content-Key: 349845

Url: https://administrator.de/contentid/349845

Ausgedruckt am: 19.03.2024 um 13:03 Uhr

Mitglied: 133883
133883 23.09.2017, aktualisiert am 22.01.2018 um 13:01:23 Uhr
Goto Top
Hier stehts unter Assign local groups to users
https://help.ubuntu.com/community/LDAPClientAuthentication

Gruß
Mitglied: joe2017
joe2017 25.09.2017 um 08:34:58 Uhr
Goto Top
Hallo Oneplus,

das hatte ich bereits getestet.
Jedoch möchte ich keine LDAP User einer Lokalen Gruppe zuweisen, sondern ehr die Rechte beschränken.
Meine LDAP Benutzer haben diese Rechte bereits und ich möchte diese verbieten.

Danke trotzdem für den Tip. Hast du noch eine Idee hierfür?
Mitglied: joe2017
joe2017 25.09.2017 um 08:36:45 Uhr
Goto Top
Ohhh!!! Ich sehe gerade das ich diesen Post wirklich schon einmal aufgegeben habe.
Das war keine Absicht! Ich habe diese Frage in mehreren Foren gepostet und da hab ich diesen wohl übersenen!

Kann man den ersten Post löschen?
Mitglied: 133883
133883 25.09.2017 aktualisiert um 08:44:47 Uhr
Goto Top
Naja, wenn du mal nachdenken würdest dann würdest du die Möglichkeit sehen die User einer neuen lokalen Gruppe zuzuweisen welche nicht Mitglied in den Gruppen CD-ROM und plugdev ist, und schon hast du die gewünschte Einschränkung!
Mitglied: joe2017
joe2017 25.09.2017 um 09:31:14 Uhr
Goto Top
Hallo Oneplus,

wenn das funktioniert wäre das die Lösung.
Wie kann ich die Berechtigungen einer gruppe anpassen?

mit addgroup "neue Gruppe" erstelle ich eine lokale Gruppe.
Wo sehe ich die Berechtigungen dieser Gruppe? (floppy, plugdev)
Mitglied: 133883
133883 25.09.2017 aktualisiert um 09:35:30 Uhr
Goto Top
Ja wie jetzt? Das gehört zu den Grundlagen die jeder Linux Admin aus dem FF beherrschen sollte, also nochmal zurück auf die Schulbank
https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/
Mitglied: joe2017
joe2017 25.09.2017 aktualisiert um 10:13:59 Uhr
Goto Top
Leider bin ich etwas neu in diesem Thema und befasse mich erst seit Anfang des Jahres mit Linux.

Ich habe auch kein Problem Benutzer zu einer Gruppe hinzuzufügen.
Das Problem ist ehr folgendes:

Die Gruppe FLOPPY darf auf Disketten zugreifen
Die Gruppe CD-ROM darf auf CD-ROM Laufwerke zugreifen

Auf was darf eine neue Gruppe XY zugreifen und wie wird dies konfiguriert? Dazu finde ich leider nichts.
Zusätzlich habe ich gelesen, dass ich nur Benutzer einer Gruppe zuweißen kann. Nicht eine Gruppe zu einer Gruppe.

Würde das gehen hätte ich eine neue Gruppe XY angelegt und dieser Gruppe die Gruppe FLOPPY für dieses Recht hinzugefügt.

Ich habe jetzt meine %user zu der Gruppe FLOPPY und XY hinzugefügt. Jedoch haben die Benutzer noch immer die restlichen Berechtigungen.
Wenn ich den Befehl "groups" ausführe bekomme ich folgende Rückmeldung:
user audio XY
user ist in diesem Fall die LDAP Gruppe
audio und XY sind lokale Gruppen

Ich habe jetzt einen weiteren Test gemacht und einen lokalen Benutzer angelgt und diesen lediglich in die Gruppe XY und audio gesteckt.
Dieser Bentzer hat trotzdem Zugriff auf USB Sticks und CD-ROM Laufwerke.

Wahrscheinlich bekommt jeder User Standardberechtigungen welche man so nicht einschränken kann. Bzw. müsste man dies Standardmäßig einschränken.
Mitglied: 133883
133883 25.09.2017 aktualisiert um 16:12:52 Uhr
Goto Top
Dieser Bentzer hat trotzdem Zugriff auf USB Sticks und CD-ROM Laufwerke.
Dann hast du die Mount-Points nicht geschützt...
https://www.unixmen.com/block-access-usb-cddvd-debian-derivatives/