Login OPSI Web Konsole über Active Directory

1x1speed
Beiträge: 12
Registriert: 23 Mär 2010, 12:26

Login OPSI Web Konsole über Active Directory

Beitragvon 1x1speed » 27 Jan 2011, 13:59

Hallo,

ich hab gerade OPSI 4 auf einem Ubuntu 10.04 mit einem MySQL Backend installiert. Nun möchte ich aber, daß der Login zu dem Webinterface über das die Clients verwaltet werden über Nutzer im Active Directory erfolgt die z.B. Mitglieder in der AD-Gruppe OPSI-Agents sind.

Wie ist das prinzipiell realisierbar und wenn ja hat das schon mal jemand grob dokumentiert.

Vielen Dank!

Benutzeravatar
c.kampka
Ex-uib-Team
Beiträge: 87
Registriert: 09 Aug 2010, 16:27
Kontaktdaten:

Re: Login OPSI Web Konsole über Active Directory

Beitragvon c.kampka » 27 Jan 2011, 14:29

Hallo,

opsi Benutzer authentifizieren sich über das PAM System des Servers, welches sich zum Beispiel über Module wie Winbind und Kerberos an ein AD anbinden lässt.
Wie ganu die Konfiguration auszusehen hat müsste sich über bekannte Suchmaschinen erarbeiten lassen.

Viele Grüße,
Christian Kampka
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://uib.de
http://opsi.org

1x1speed
Beiträge: 12
Registriert: 23 Mär 2010, 12:26

Re: Login OPSI Web Konsole über Active Directory

Beitragvon 1x1speed » 27 Jan 2011, 14:38

ok danke, das hilft schon mal weiter.

1x1speed
Beiträge: 12
Registriert: 23 Mär 2010, 12:26

Re: Login OPSI Web Konsole über Active Directory

Beitragvon 1x1speed » 21 Mär 2011, 18:15

Hallo,

nun hab ich den Server im AD integriert.

Code: Alles auswählen

#>wbinfo -g
... ad-gruppen.


Wenn ich meinen Nutzer abfrage bezüglich der zugehörigen Gruppen:

Code: Alles auswählen

#> groups install-adm
     install-adm: domänen-benutzer opsi-agents ......



Nun muss die AD-Gruppe Opsi-Agents bei der Gruppe opsiadmin berechtigt sein!? Kann mir jemand einen Tipp geben wie der Mechanismus mit Unix-Gruppen und AD-Gruppen funktioniert. Nach meinem AD Verständnis müsste Opsi-Agents Mitglied der lokalen Unix Gruppe opsiadmin sein!

Danke schon mal!

1x1speed
Beiträge: 12
Registriert: 23 Mär 2010, 12:26

Re: Login OPSI Web Konsole über Active Directory

Beitragvon 1x1speed » 22 Mär 2011, 12:00

hallo,

hab grad was zum Groupmapping rausgefunden, damit sollte die AD-Gruppe "OPSI-AGENTS" mit den Unixgruppen pcpatch und opsiadmin verknüpft werden:

Code: Alles auswählen

net groupmap add ntgroup="opsi-agents" unixgroup=opsiadmin rid=1001
net groupmap add ntgroup="opsi-agents" unixgroup=pcpatch rid=992


Der Login mit AD klappt zwar immer noch nicht, aber bin erst mal ein Stück weiter den Mechanismus zu verstehen. Folgender Fehler erscheint nun:

Code: Alles auswählen

root@opsi01:/etc/opsi/backendManager# opsi-admin -u <username domain-admin>
Password:
[2] Traceback: (Logger.py|710)
[2]      line 1505 in '<module>' in file '/usr/bin/opsi-admin' (Logger.py|710)
[2]      line 246 in 'main' in file '/usr/bin/opsi-admin' (Logger.py|710)
[2]      line 308 in '__init__' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2]      line 373 in 'connect' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2]      line 582 in '_jsonRPC' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2]      line 122 in 'execute' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/JSONRPC.py' (Logger.py|710)
[2]      line 128 in 'waitForResult' in file '/usr/lib/pymodules/python2.6/OPSI/Backend/Backend.py' (Logger.py|710)
[2]      ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user '<username domain-admin>': 'ascii' codec can't decode byte 0xc3 in position 3: ordinal not in range(128) (error on server) (opsi-admin|1515)

1x1speed
Beiträge: 12
Registriert: 23 Mär 2010, 12:26

Re: Login OPSI Web Konsole über Active Directory

Beitragvon 1x1speed » 12 Mai 2011, 12:46

Hallo zusammen,

nach etwas längerer Pause hatte ich mal wieder Zeit mich mit dem Thema Opsi und AD Authentifikation zu beschäftigen bzw. zu versuchen die Authentifikation über PAM hinzubekommen.

Hat jemand vielleicht einen Tip, welche PAM Module unter /etc/pam.d/ wie konfiguriert werden müssen damit die Anmeldung klappt.

Spoxs
Beiträge: 108
Registriert: 16 Jun 2011, 14:25

Re: Login OPSI Web Konsole über Active Directory

Beitragvon Spoxs » 16 Jun 2011, 14:31

wenn wbinfo -u dir Deine AD User zurück gibt, kannst Du in der /etc/group einfach Deinen AD namen hinter der Gruppe opsiadmin schreiben. Das funktioniert.
Was bei mir auch nicht funktioniert, das ich der Gruppe opsiadmin eine AD Gruppe hinzufügen kann.
Da aber ohnehn nur eine Handvoll User die Softwareverteilung benutzen, ist diese Funktion für mich nicht so wichtig.