SSH Anmeldung mit Domänen Benutzer

Guten Tag!

ich würde mich gerne an SSH bei Memberservern nicht nur mit dem Root Benutzer anmelden, sondern auch mit Benutzern bzw. Gruppen aus der UCS Domäne. Wie kann ich das bewerkstelligen? Im Handbuch und der SDB habe ich schon gestöbert, bin aber nicht fündig geworden. Wahrscheinlich ist es einfacher als ich denke…
UCS Version 4.1-3

Gruß,
Dir Mauz

Hallo,

das ist in der Tat eigentlich ziemlich einfach.
8.4.4.1. Anmeldebeschränkungen für ausgewählte Benutzer.

In Umgebungen mit mehreren Servern kann man sich Arbeit des Zuweisens von UCR-Variablen dann noch über Richtlinien erleichtern.

Viele Grüße,
Dirk Ahrnke

1 Like

Hallo,

ja, das war wirklich ziemlich einfach rotwerd :slight_smile:
(Ich hatte im Handbuch die Infos bei 8.4.10. SSH-Zugriff auf Systeme erwartet und keinen Hinweis gefunden.)

da man bei Windows entscheiden kann, ob ein Benutzerkonto aus der lokalen Benutzerdatenbank (falls vorhanden) oder aus der Domäne genutzt werden soll, habe ich versucht den Domänennamen irgendwie mitzugeben, z.B. benutzer@domäne.de oder domäne.de/benutzer
Nur den Benutzernamen alleine zu probieren war mir “zu einfach” und nicht logisch. Aber man kann wohl bei UCS kein lokales Benutzerkonto anlegen, wenn es den Namen schon als LDAP Objekt in der Domäne gibt - auch gut.

Was mir noch aufgefallen ist:

  • Mit einem Domänen Adminkonto anmelden, hat, wie erwartet geklappt. Die Anmeldung mit einem Standard Benutzer Konto dürfte laut Handbuch standardmäßig nicht möglich sein, hat bei mir aber trotzdem funktioniert.

–> Die im Handbuch genannten UCR Variablen die mit /auth/sshd/ beginnen existieren wohl nur auf Domänenkontrollern. Auf meinen Memberservern gibt es die nicht. Und wenn die Variable auth/sshd/restrict: yes nicht existiert, kann man sich mit jedem Domänenkonto per SSH einloggen. Soll das so sein? Dann würde das dem Handbuch widersprechen
docs.software-univention.de/hand … e_Benutzer

[quote]“In der Grundeinstellung können sich nur der root-Benutzer und Mitglieder der Gruppe Domain Admins
remote über SSH und lokal auf einem tty anmelden.”[/quote]

Und noch ein Frage:
Ich möchte einer neuen Domänengruppe auf einem Memberserver Rootrechte einstellen. Dazu hätte ich die Sudoers Datei erweitert. Aber da steht drin, dass die Datei von UCR überschrieben werden kann und man besser die Templatedatei anpasst. Mit der Datei komme ich nicht klar, Syntax ist für mich zu kompliziert. Was muss ich tun, um der Domänengruppe “server-admins” Rootrechte auf einem UCS Memberserver zu geben?

Mille Grazie,
Dirk Mauz

Hallo,

Sie haben offensichtlich Recht, auf einem Member gibts kein auth/sshd. Ich habs als Randnotiz in [bug]37509[/bug] gefunden und das Problem in [bug]42668[/bug] beschrieben.
Mal sehen, ob ich noch Zeit finde, einen Workaround zu suchen.

Zum Thema “sudo”:
Es gibt erstmal nur dies:

# ucr search sudo auth/sudo: yes Permits the sudo rules for domain administrators.
Das schreibt in /etc/sudoers.d/univention:

%Domain\ Admins ALL=(ALL:ALL) ALL

Ich denke, dass man sich eine eigene Datei in /etc/sudoers.d/ anlegen und dort “server-admins” adäquat berechtigen kann.

Viele Grüße,
Dirk Ahrnke

Glücklicherweise ist auch auf einem Memberserver das Template für den “auth/sshd”-Mechanismus vorhanden.
Es wird nur nicht aktiviert, da die UCR-Variablen nicht gesetzt sind.
Man muß allerdings aufpassen, ansonsten sperrt man sich (lies: root" versehentlich aus.
In meinem Fall habe ich schon eine Gruppe “sshaccess”. Die und root dürfen sich anmelden nachdem ich diese UCR-Variablen gesetzt habe:

[code]# ucr search auth/sshd
auth/sshd/group/sshaccess: yes
If a login restriction is enabled using auth/SERVICE/restrict=yes, the login is limited to groups, which were activated using auth/SERVICE/group/GROUPNAME=yes, e.g. “auth/sshd/group/Domain Admins=yes”.

auth/sshd/restrict: yes
This option activates login restrictions for the given service using pam_access. If the variable auth/SERVICE/restrict is activated, only users can login, which are allows using variables in the form auth/SERVICE/user/USERNAME=yes or auth/SERVICE/group/GROUPNAME=yes. Possible values for the service are: chfn, chsh, cron, ftp, gdm, kdm, kcheckpass, kde, kscreensaver, login, other, passwd, ppp, rlogin, rsh, screen, sshd, su and sudo.

auth/sshd/user/root: yes
If a login restriction is enabled using auth/SERVICE/restrict=yes, the login is limited to groups, which were activated using auth/SERVICE/group/GROUPNAME=yes, e.g. “auth/sshd/user/Administrator=yes”.
[/code]

Das sshd PAM-File wird erst passend ergänzt wenn auth/sshd/resetrict gesetzt ist.

Viel Erfolg,
Dirk Ahrnke

da kommen die Antworten ja schneller als ich testen kann, WOW :slight_smile:

Dass nur die UCS Variablen auf den Memberserver fehlen kann ich bestätigen. Das war für mich ein guter Grund mal das Thema Richtlinien anzugehen. So habe ich mir in der UMC eine Richtline angelegt mit allen Variablen die nötig sind und diese dann im LDAP Browser mit dem Container “Memberserver” verknüpft. Jetzt klappt das mit den Logins wie erwartet.

Was ich noch suche:
Gibt es einen Befehl um die Richtlinien manuell zu aktualisieren? So wie bei Windows “GPupdate”?

Die Rootberechtigung in einer zusätzlichen Datei im Ordner /etc/sudoers.d/ funktioniert übrigens auch.

%server-admins ALL=(ALL:ALL) ALL

Herzlichen Dank!
Dirk Mauz

Hallo,

run-parts /usr/lib/univention-directory-policy

:slight_smile:

Schönen Gruß,
Michael Grandjean

Hi,
ich habe eine Frage zu diesem Befehl:

run-parts /usr/lib/univention-directory-policy

Letztens hatte ich Probleme bei einem Kunden mit GPOs und nach Ausführung des genannten Befehls ging alles wieder.
Was auch immer dabei im Hintergrund passiert ist - es ging sehr schnell.

Gibt es eine Log-Datei in der man nachsehen kann, was dabei passiert?

LG,
Roland.

[quote=“roland.gsell”]Hi,
ich habe eine Frage zu diesem Befehl:

run-parts /usr/lib/univention-directory-policy

Letztens hatte ich Probleme bei einem Kunden mit GPOs und nach Ausführung des genannten Befehls ging alles wieder.
Was auch immer dabei im Hintergrund passiert ist - es ging sehr schnell.

Gibt es eine Log-Datei in der man nachsehen kann, was dabei passiert?

LG,
Roland.[/quote]

das hat nichts mit dem Thema dieses Threads zu tun.

Natürlich nicht, sorry.
Habe ein neues Thema erstellt:

Mastodon