Seite 1 von 1
Login OPSI Web Konsole über Active Directory
Verfasst: 27 Jan 2011, 13:59
von 1x1speed
Hallo,
ich hab gerade OPSI 4 auf einem Ubuntu 10.04 mit einem MySQL Backend installiert. Nun möchte ich aber, daß der Login zu dem Webinterface über das die Clients verwaltet werden über Nutzer im Active Directory erfolgt die z.B. Mitglieder in der AD-Gruppe OPSI-Agents sind.
Wie ist das prinzipiell realisierbar und wenn ja hat das schon mal jemand grob dokumentiert.
Vielen Dank!
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 27 Jan 2011, 14:29
von c.kampka
Hallo,
opsi Benutzer authentifizieren sich über das PAM System des Servers, welches sich zum Beispiel über Module wie Winbind und Kerberos an ein AD anbinden lässt.
Wie ganu die Konfiguration auszusehen hat müsste sich über bekannte Suchmaschinen erarbeiten lassen.
Viele Grüße,
Christian Kampka
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 27 Jan 2011, 14:38
von 1x1speed
ok danke, das hilft schon mal weiter.
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 21 Mär 2011, 18:15
von 1x1speed
Hallo,
nun hab ich den Server im AD integriert.
Wenn ich meinen Nutzer abfrage bezüglich der zugehörigen Gruppen:
Code: Alles auswählen
#> groups install-adm
install-adm: domänen-benutzer opsi-agents ......
Nun muss die AD-Gruppe
Opsi-Agents bei der Gruppe
opsiadmin berechtigt sein!? Kann mir jemand einen Tipp geben wie der Mechanismus mit Unix-Gruppen und AD-Gruppen funktioniert. Nach meinem AD Verständnis müsste
Opsi-Agents Mitglied der lokalen Unix Gruppe
opsiadmin sein!
Danke schon mal!
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 22 Mär 2011, 12:00
von 1x1speed
hallo,
hab grad was zum Groupmapping rausgefunden, damit sollte die AD-Gruppe "OPSI-AGENTS" mit den Unixgruppen pcpatch und opsiadmin verknüpft werden:
Code: Alles auswählen
net groupmap add ntgroup="opsi-agents" unixgroup=opsiadmin rid=1001
net groupmap add ntgroup="opsi-agents" unixgroup=pcpatch rid=992
Der Login mit AD klappt zwar immer noch nicht, aber bin erst mal ein Stück weiter den Mechanismus zu verstehen. Folgender Fehler erscheint nun:
Code: Alles auswählen
root@opsi01:/etc/opsi/backendManager# opsi-admin -u <username domain-admin>
Password:
[2] Traceback: (Logger.py|710)
[2] line 1505 in '<module>' in file '/usr/bin/opsi-admin' (Logger.py|710)
[2] line 246 in 'main' in file '/usr/bin/opsi-admin' (Logger.py|710)
[2] line 308 in '__init__' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2] line 373 in 'connect' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2] line 582 in '_jsonRPC' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2] line 122 in 'execute' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2] line 128 in 'waitForResult' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/Backend.py' (Logger.py|710)
[2] ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user '<username domain-admin>': 'ascii' codec can't decode byte 0xc3 in position 3: ordinal not in range(128) (error on server) (opsi-admin|1515)
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 12 Mai 2011, 12:46
von 1x1speed
Hallo zusammen,
nach etwas längerer Pause hatte ich mal wieder Zeit mich mit dem Thema Opsi und AD Authentifikation zu beschäftigen bzw. zu versuchen die Authentifikation über PAM hinzubekommen.
Hat jemand vielleicht einen Tip, welche PAM Module unter /etc/pam.d/ wie konfiguriert werden müssen damit die Anmeldung klappt.
Re: Login OPSI Web Konsole über Active Directory
Verfasst: 16 Jun 2011, 14:31
von Spoxs
wenn wbinfo -u dir Deine AD User zurück gibt, kannst Du in der /etc/group einfach Deinen AD namen hinter der Gruppe opsiadmin schreiben. Das funktioniert.
Was bei mir auch nicht funktioniert, das ich der Gruppe opsiadmin eine AD Gruppe hinzufügen kann.
Da aber ohnehn nur eine Handvoll User die Softwareverteilung benutzen, ist diese Funktion für mich nicht so wichtig.