Red Hat NETWORK 4.0.5 - Manual de usuario descargar pdf (Pagina 18)

opsi Getting Started opsi-Version 4.0.5 13 / 85

Die Installation von opsi mit dem ﬁle oder mysql Backend ist möglich auf den Rollen Master, Backup, Slave.

Die folgende Dokumentation geht von einer Installation auf dem Master mit samba4 aus.

Bitte beachten:

• Wird die Installation auf einem Slave ausgeführt, muss dieser bereits gegenüber dem Master gejoint sein und während

der Grundinstallation das Samba4 installiert worden sein. Die folgenden Konﬁgurations- bzw. Installations-Aufrufe

müssen jedoch auf dem Master ausgeführt werden. Ab der Erweiterung der Repositories betreﬀen die Änderungen

den Slave.

Die klassischen Installationsvariante mit dem Benutzer: pcpatch mit der primären Gruppe: pcpatch konnte für UCS 3

nicht eingehalten werden. Da Samba4 den grundlegenden Restriktionen von Active-Directory unterliegt, sind Gruppen

mit der gleichen Bezeichnung wie User (wie in Unix/Linux üblich) nicht mehr erlaubt. Aus diesem Grund wurde für

UCS 3 eine neue Konﬁgurationsdatei eingeführt: /etc/opsi/opsi.conf, über die gesteuert wird, wie die Gruppe für

den Samba-Zugriﬀ auf die Freigaben bestimmt wird. Speziell bei UCS 3 wird nun über diese Datei der Gruppenname

pcpatch umbenannt und heißt von nun an: opsifileadmins. Das bedeutet, dass die User, die Zugriﬀsrechte für die

Freigaben von opsi erhalten müssen (opsi-Paketierer) unter UCS 3 nicht Mitglied der Gruppe pcpatch werden können,

sondern Mitglied der Gruppe opsifileadmins sein müssen. Diese Besonderheit gilt vorerst nur für UCS 3 und unter-

scheidet sich von den anderen Distributionen und eventuell in weiterführenden Kapiteln der opsi-Dokumentationen.

Des weiteren ist seit UCS 3 auch neu, dass der User pcpatch nun als vollwertiger Domänenbenutzer angelegt wird und

nicht mehr als Systemuser. (Auch die UID von pcpatch und die GID der opsiﬁleadmins-Gruppe wird nun nicht mehr

fest auf 992 vorgegeben, sondern vom UDM selbst bestimmt, um spätere Replikationsprobleme mit dem User und

dieser Gruppe zu vermeiden.) Nähere Informationen über diese neue Konﬁgurationsdatei entnehmen Sie bitte dem

opsi-manual.

Bevor opsi installiert werden kann, sind zunächst einige spezielle Vorbedingungen zu erfüllen. Dafür muss als erstes

dafür gesorgt werden, dass das pcpatch-Konto sauber zu Samba4 repliziert wird. Dazu muss geprüft werden, ob der s4-

Connector von Univention das Konto pcpatch in seiner Ignore-Liste stehen hat. Dazu führen Sie auf dem UCS-Master

folgende Befehle aus:

ucr get connector/s4/mapping/user/ignorelist

Sollte die Ausgabe etwa so aussehen:

root,pcpatch,ucs-s4sync

Muss mit folgendem Befehl der pcpatch aus der Ignore-Liste entfernt werden:

ucr set connector/s4/mapping/user/ignorelist=root,ucs-s4sync

Wenn diese Option angepasst wurde muss der Connector neu gestartet werden:

invoke-rc.d univention-s4-connector restart

Je nach größe der Umgebung kann es einige Minuten dauern, bis die Änderungen überall wirksam werden.

Ein weiteres Problem stellt das neue Security-Feature von UCS für das anonyme lesen des Univention-LDAP dar.

Dieses ist entgegen der UCS 2.4-x Installationen per default ausgeschaltet. Somit hat der Conﬁgserver von opsi keine

Möglichkeit die Gruppenzugehörigkeit der User zu lokalisieren. Da man aber keinen User (Weder System- noch Do-

mänenuser) explizit das Recht für das Lesen geben kann, bleiben zwei alternativen (Beide Einstellungen müssen nur

auf dem Conﬁgserver durchgeführt werden):

Entweder komplettes ausschalten des Features:

ucr set ldap/acl/read/anonymous=yes

(Dies wird per Default bei einem Upgrade von UCS 2.4-x auf UCS 3 automatisch gemacht.)

Oder das partielle Freischalten für den Conﬁgserver:

ucr set ldap/acl/read/ips="127.0.0.1,192.168.1.1"

1 2 ... 13 14 15 16 17 18 19 20 21 22 23 ... 89 90

Comentarios a estos manuales

Sin comentarios

Red Hat NETWORK 4.0.5 - Manual de usuario Pagina 18

Comentarios a estos manuales

Relacionado con productos y manuales para Servidores Red Hat NETWORK 4.0.5 -