Re: samba-ad gruppenverwaltung

Top Page
Attachments:
Message as email
+ (text/plain)
+ (text/html)
Delete this message
Reply to this message
Author: Daniel Laczi
Date:  
To: list, Norman Zimmer
Subject: Re: samba-ad gruppenverwaltung
Ich glaube, das wird so nicht gehen. Google mal nested groups
und Linux.

--
Gruß
Daniel

Am 28. April 2021 08:42:54 MESZ schrieb Norman Zimmer <mail@???>:
>Hi,
>
>meine Frage "Domain Admins" -> "sudo" war nur ein (1) Beispiel.
>Vielleicht ein blödes ;)
>
>1) Ja, das geht. Hatte ich gestern mal irgendwann ausprobiert und das würde im speziellen Fall von Sudo funktionieren.
>Allerings geht es mir auch um alle anderen Gruppen. "cdrom, plugdev, lpadmin, etc..."
>
>2) Will ich ja nicht.
>
>Mein Problem ist, dass nach der installation der Arbeitsstation keiner der AD-User Rechte hat.
>Ich kann mich mit einem normalen User nicht anmelden, weil er in keiner Gruppe ist.
>
>Ein vom Ubuntu-Installer angelegter User wäre in den Gruppen
>"cdrom, sudo, dip, plugdev, lpadmin, lxd, sambashare"
>
>Aktuelle Lösung ist, das von Hand für jeden möglichen User einzeln zu machen. Das ist sehr Aufwändig.
>Jetzt hätte ich im AD eine Gruppe "linux-user" angelegt und ermöglicht, dass jeder User dieser Gruppe sich an der Ubuntu-Workstation anmelden kann.
>
>Mein erster Lösungsansatz war, die AD-Gruppe "linux-user" in alle notwendigen lokalen Gruppen der Ubuntu-Workstation zu nehmen.
>Das ist bei Microsoft Windows Workstations so üblich und da ich auch sehr viel mit Microsoft Windows mache war das für mich der erste Lösungsansatz.
>Leider geht das scheinbar nicht -> darum meine Email an euch.
>
>
>Gestern habe ich noch einen zweiten Lösungsansatz gefunden.
>Es gibt in Samba eine Möglichkeit des Groupmappings, das hab ich mal ausprobiert.
>
>1) Im Samba4-AD eine Gruppe "linuxlocal-mygroup" angelegt und meinen User da rein.
>2) net groupmap add unixgroup=mygroup type=domain ntgroup=linuxlocal-mygroup
>3) Anmelden an der Workstation -> Befehl "id"
>
>Die Gruppenmitgliedschaft in der AD-Gruppe hab ich jetzt.
>Leider sehe ich nix von der lokalen Gruppe nix und hab auch keine entsprechenden lokalen Rechte.
>Als "mygroup" hab ich unter anderem "root, sudo, was-anderes" ausprobiert.
>
>Any Ideas?
>
>LG Norman
>
>
>
>
>
>
>
>Daniel Laczi <daniell1@???> schrieb am Di, 27. Apr 23:36:
>> Hi.
>>
>> Mir kommen dazu zwei Fragen:
>>
>> 1) Warum fügst du die Gruppe nicht in /etc/sudoers hinzu?
>>
>> 2) Warum möchte man das überhaupt machen? Es ist nicht Nest Practice sich mit Domain Admins auf lower-trust Servern und Workstations anzumelden. Was ich damit sagen will: bevor du dich bspw. regelmäßig mit Domain Admins an nicht vertrauenswürdigen Workstations von Benutzern anmeldest und dich potentiellen Credential Thefts aussetzt, würde es evtl. Sinn machen, über eine andere Lösung nachdenken.
>>
>> --
>> Gruß
>> Daniel
>>
>> Am 27. April 2021 10:45:22 MESZ schrieb Norman Zimmer <mail@???>:
>> >Hallo zusammen,
>> >
>> >leider bin ich bei $suchmaschine nicht fündig geworden, bzw habe ich die Infos bekommen, dass das was ich vorhabe nicht geht.
>> >Jetzt mal die Frage an euch ob Ihr da eine Lösung kennt.
>> >
>> >Ich habe einen Samba4-AD-Installation und diverse Windows- und Linux-Computer in diesem AD.
>> >
>> >Auf den Windows-Computern habe ich per GPO die AD-Gruppe "Domain Admins" in die Lokale Gruppe "Adminisratoren" hinzugefügt.
>> >Das hat zur folge, dass alle Domain-Admins auf den lokalen Computer Administratoren Rechte haben.
>> >Jetzt wollte ich das gleiche auf den Linux-Computern machen.
>> >
>> >Also z.B. die AD-Gruppe "Domain Admin" oder "gruppenname@ad-domain-name" zur lokalen Gruppe "sudo" hinzufügen.
>> >Leider ist das nach meinem jetzigen Informationsstand nicht möglich.
>> >
>> >Das Hinzufügenm eines einzelnen Benuters "user@ad-domain-name" zur lokalen Gruppe "sudo" geht prima.
>> >Any Ideas?
>> >
>> >LG Norman
>> >
>> >--
>> >Norman "bigboss" Zimmer
>> >GnuPG-ID: 0x1842A431
>> >
>> >Packets don't lie, but they may not tell everything if captured by a misconfigured filter.
>> >
>> >--
>> >Mailing-Liste der Linux User Schwabach (LUSC) e.V.
>> >Vor und beim Posten bitte
>> > => http://lusc.de/List-Netiquette <= und
>> > => http://lusc.de/List-Howto <= beachten. Danke!
>> >
>
>--
>Norman "bigboss" Zimmer
>GnuPG-ID: 0x1842A431
>
>Packets don't lie, but they may not tell everything if captured by a misconfigured filter.
>
>--
>Mailing-Liste der Linux User Schwabach (LUSC) e.V.
>Vor und beim Posten bitte
> => http://lusc.de/List-Netiquette <= und
> => http://lusc.de/List-Howto <= beachten. Danke!
>