Tags:
create new tag
, view all tags

POSIX-Attribute

Im Active Directory sowie im LDAPS werden User-Objekte (Identities) gespeichert. Im Active Directory werden durch eine Schema-Erweiterung POSIX-Attribute analog zum LDAPS eröffnet. Alle User-Objekte werden um die objectClass posixAccount erweitert. Diese Objekte weisen eine Menge von Standard-Attributen auf, welche weiter unten beschrieben werden.

Posix-Attribute im LDAPS und Active Directory

Die folgende Tabelle listet die POSIX-Attribute auf, die im LDAPS und AD zu finden sind. Einige Windows-Pendants zu diesen Attributen werden ebenfalls aufgelistet.
Name im LDAPS Name im AD Beispielwert im LDAPS Beispielwert im AD Beschreibung
cn cn vermeul vermeul Common Name, wir nehmen den nethz-Username
uid uid vermeul vermeul nethz-Username, wird bei Unix für Login verwendet
  sAMAcountName   vermeul nethz-Username, wird bei Windows für Login verwendet
description description     allgemeine Beschreibung über diesen Account. V.a. bei System-Kontos verwendet
uidNumber uidNumber 28688 28688 5-stellige Unix-User ID (von der nethz-DB vergeben, kann im Admin-Tool angepasst werden)
gidNumber gidNumber 60001 1029 Primäre Usergruppe dieses Users. 1029 Entspricht im AD der gidNumber der Gruppe «Domain Users». 60001 bedeutet im LDAPS die nobody-Gruppe
  primaryGroupID   513 zeigt auf die primäre Gruppe eines Users. Der User ist im AD nicht explizites Mitglied dieser Gruppe, d.h. im memberOf Attribut ist diese primäre Gruppe nicht ersichtlich. Mithilfe der SID-Nummer und dieser Zahl kann die SID der primären Gruppe herausgefunden werden. Die primaryGroup hat in Windows keine Funktion.
userPasswort unixUserPassword {SSHA}6n[...]rbF== {crypt}x Passwort im SHA-1 Format, wird beim Binden an den LDAPS-Server verwendet. Der Wert im Active Directory ist ein Dummy-Wert und wird nie verwendet
gecos gecos Peter Mueller Peter Mueller Vor- und Nachname, 7bit Zeichen (ohne Umlaute). Ä, Ö, Ü, ä, ö, ü werden zu Ae, Oe, Ue, ae, oe, ue. Übrige Accents werden entfernt.
  homeDirectory   \\d\dfs\users\all\vermeul Home-Directory (nur Windows-Clients!)
homeDirectory unixHomeDirectory /nas/vermeul /nas/vermeul Home-Directory für UNIX-Clients
  homeDrive   Y: Laufwerksbuchstabe
  profilePath   \\d\dfs\users\all\vermeul\%pafs% Die %pafs%-Variable kann pro Windows-System gesetzt und beim Login ausgewertet werden
loginShell loginShell /bin/bash /bin/bash Standard-Shell für diesen User

Diese Attribute sollten im Admin-Tool für das Active Directory sowie für LDAPS an einem zentralen Ort gesetzt werden können.

Windows + UNIX: Harmonisierung

  • die Primäre Usergruppe eines Benutzers hat für Windows-Berechtigungen keinerlei Bedeutung, weil für Berechtigungen in der Windows-Welt ausschliesslich Access Control Lists (ACL) zum Einsatz kommen. Sie gibt es aber gleichwohl und lautet für alle AD-Benutzer standardmässig Domain Users.
  • die Primäre Usergruppe eines Benutzers hat in der UNIX-Welt eine zentrale Bedeutung: wenn ein File geschrieben wird, so trägt dieses eine gidNumber (die Nummer der primären Usergruppe) sowie eine uidNumber. Solche Files können von allen Benutzern derselben Gruppe gelesen werden.
  • die gemeinsame Nutzung von Dateien im NAS via CIFS und NFS V3/V4 bedingt, dass die Zugriffrechte konsistent bleiben
  • dazu müssen die POSIX-Attribute in beiden Directories harmonisiert werden
    • uidNumber DONE Ist bereits heute realisiert und wird für jeden nethz Usernamen automatisch festgelegt. Das Recycling der uid-Nummern, wie es in der Vergangenheit gemacht wurde, ist abgeschafft.
    • homeDirectory Das AD-Attribut unixHomeDirectory muss mit dem LDAPS-Attribut homeDirectory übereinstimmen
    • gidNumber (primäre Gruppe eines Users). Muss heute im nethz- und Mailbox-Service separat definiert werden.
    • primaryGroupID (primäre Gruppe eines Users). Kann heute nur im GUI «Users and Groups» definiert werden.

Geplante Erweiterung

  • neues Interface (im Bereich des Usernamens), um die erwähnten Attribute zu definieren sowie die primäre Usergruppe zu definieren
  • alle Security-Gruppen sollen standardmässig immer in beiden Directories (AD, LDAPS) vorhanden sein, mit derselben gidNumber.
  • Mailbox-Service-Seite um die Felder unixHomeDirectory, loginShell, gidNumber und description erleichtern (da diese zentral für den User definiert werden)
  • Nethz-Service-Seite um die Felder homeDirectory, loginShell, gidNumber und description erleichtern

Aufwandabschätzung

  • neue Seite im Admin-Tool: 5 Tage
  • Synchronisierung der Security-Gruppen: 3-4 Tage
  • Anpassen der Service-Seiten Mailbox und nethz: 2 Tage

-- SwenVermeul - 2012-06-12

Topic revision: r4 - 2012-06-21 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback