Open Source-Software findet in immer mehr Unternehmen und Behörden ihren Einsatz. Im Juli widmet IT-Administrator daher seinen Heftschwerpunkt der quelloffenen ... (mehr)

Posix-Attribute berücksichtigen oder ignorieren

Windows ermöglicht in seinem AD-Schema seit geraumer Zeit, Posix-Attribute zu definieren, die sich mittels der Komponente "Identity Management for UNIX (IMU) – ehemals "Services for Unix, SFU" – aktivieren lassen. In den Eigenschaften eines Windows-Benutzers können Sie dann die gewünschten Attribute eintragen, also beispielsweise die UID, GID, aber auch das gewünschte Home-Verzeichnis und andere Posix-Informationen.

FreeIPA erkennt diese und würde automatisch auf die im AD gespeicherten Attribute zurückgreifen, anstatt neue Attribute zu definieren. Beim Anlegen des Trusts können Sie jedoch explizit bestimmen, wie sich FreeIPA verhalten soll, falls im AD bereits Posix-Attribute definiert sind. Mittels ipa trust-add --range-type=ipa-ad-trust-posix legen Sie fest, dass im AD gespeicherte Posix-Attribute benutzt werden sollen, hingegen besagt die Anweisung »ipa trust-add-range-type=ipa-ad-trust« , dass diese Attribute zu ignorieren sind und FreeIPA in jedem Fall eigene IDs generieren soll.

Windows-Gruppen und Security-Regeln

Für viele Security-Regeln (beispielsweise sudo, SELinux, HBAC) greift das FreeIPA-Framework auf Gruppen-Informationen zurück, um zu entscheiden, ob ein Zugriff für einen bestimmten Benutzer erlaubt ist oder nicht. Da das Framework aber nicht über die Windows-Gruppen Bescheid weiß – schließlich liegen diese extern und sind nicht auf den FreeIPA-Systemen gespeichert – müssen Sie sich eines kleines Tricks bedienen, um diese in den gewünschten Regelwerken verwenden zu können.

Dieser besteht darin, dass alle gewünschten Windows-Gruppen in entsprechende externe (nicht-Posix)-Gruppen aufgenommen werden. Diese wiederum können Sie in Posix-Gruppen verschachteln, die Sie dann letztendlich in Ihren Regelwerken verwenden. Listing 5 zeigt, wie Sie sämtliche Domänen-Benutzer aus der Windows-Domäne über eine externe Gruppe aus dem FreeIPA-Server in eine Posix-Gruppe verschachteln.

Listing 5: Windows-Gruppen nutzen



### Um Windows-Gruppen auf dem FreeIPA zu verwenden, muss man sich eines Tricks bedienen.
# ipa group-add --desc='COE users external map'coe_domain_users_external –external
---------------------------------------
Added group "coe_domain_users_external"
---------------------------------------
    Group name: coe_domain_users_external
    Description: COE users external map
# ipa group-add --desc='COE users'coe_domain_users
------------------------------
Added group "coe_domain_users"
------------------------------
    Group name: coe_domain_users
    Description: COE users
    GID: 1691800008
# ipa group-add-member coe_domain_users_external --external 'COE\Domain Users'
[member user]:
[member group]:
    Group name: coe_domain_users_external
    Description: COE users external map
    External member: S-1-5-21-2960236960-1249552018-43539955-513
-------------------------
Number of members added 1
-------------------------
# ipa group-add-member coe_domain_users –groups coe_domain_users_external
    Group name: coe_domain_users
    Description: COE users
    GID: 1691800008
    Member groups: coe_domain_users_external
-------------------------
Number of members added 1
-------------------------

Die Gruppe "coe_domain_users" können Sie von nun an verwenden, um diese beispielsweise in Host-basierten Access Control-Regeln einzusetzen und nur Mitgliedern dieser Gruppe den Zugang zu bestimmten Systemen zu gewähren. Natürlich können Sie diese Prozedur auf beliebige Windows-Gruppen anwenden.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021