Und was heißt das nun für mich?
Hallo,
global-admin ist im ADUnd was heißt das nun für mich?
… sorry: ich weiß es nicht.
Was willst du den mit dem global-admin?
Ich hab den Kontext nicht mitbekommen.
LG
Holger
Es geht immer noch um diese Meldung. Ich suche immer noch wie ich mich anmelden kann, wenn es denn nicht root sein soll. admin, administrator, linux-admin, global-admin gehen alle nicht.
Ich weiss auch nicht, gegen was sich da autorisiert wird. „root“ klingt ja nach den System-Benutzern, die Meldung, dass man den nicht nutzen sollte wäre ja auch ein Hinweis. Warum allerdings Systemnutzer in einer Web-Anwendung benutzt werden ist mir schleierhaft. Das LDAP (AD ist ein M$ Marketing Begriff, den es so unter linux nicht gibt) kann natürlich über PAM eingeblendet werden, dann könnten Benutzer aus dem LDAP Systemnutzer sein. Die Konfiguration des Servers sieht mir aber nicht danach aus.
Hilft nur bedingt weiter – aber hier ein Screenshot, der die AD-Struktur zeigt:
Die Anmeldung in der WebUI als global-admin sollte funktionieren. Oder gibt es bei dir evtl auch ein Problem mit einem kryptischen Passort mit Sonderzeichen/Umlauten? Damit hatten wir ein Problem beim legendären Treffen der Nordländer – das war auch der Grund, warum ich bei der Installation zunächst ein ganz einfaches PW gewählt hatte …
Ich habe ein Win10, das bereits in der Domain ist … wenn ich mich da als global-admin anmelde, kann ich das unter Windows-Verwaltungsprogramme aufrufen und durchforsten…
Autorisiert die Web-Anwendung gegen das LDAP?
… noch ein Nachtrag … ich hatte vor kurzem schon mal das hier gepostet:
Hallo,
die AD-StrukturAutorisiert die Web-Anwendung gegen das LDAP?
due webui authorisiert gegen den LDAP.
Das ist auch so gewollt, da man dort keine Systemeinstellungen macht,
sondern Nutzereinstellungen.
LG
Holger
Dann enthält das LDAP den User „root“?
Hallo,
due webui authorisiert gegen den LDAP.Dann enthält das LDAP den User „root“?
nein, das ist ein systemuser.
LG
Holger
Dann dürfte ich mich mit root ja nicht einloggen können, oder er autorisiert gegen beide - system- oder ldap-user.
Dies ist ein generischer Befehl das LDAP auszulesen - sollte auf jedem LMv7 laufen:
ldapsearch \
-D "CN=global-binduser,OU=Management,OU=GLOBAL,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)" \
-w $(cat /etc/linuxmuster/.secret/global-binduser) \
-b "OU=SCHOOLS,$(awk '/basedn/{print $3}' < /var/lib/linuxmuster/setup.ini)"
Ich kann nun die Benutzer sehen, der Benutzer „global-binduser“ ist auch da (mit dem habe ich ja das LDAP gerade ausgelesen), aber ein „global-admin“ ist nicht da.
Wer legt den eigentlich an?
Ach ja: Da ist die Rede von diesem Wizard in der Web-GUI, den habe ich auch noch nicht gesehen / gefunden. Wo ist der?
Hi. Jetzt wo du es sagst… ist es nicht so, dass der erste Aufruf als root ausgeführt wird, dabei dann der Setup-Wizzzard abgearbeitet wird und man sich anschließend nur noch als global-admin anmelden soll/kann?? 
Hallo,
dann fehlt wohl noch ein Schritt beim setup: der Aufruf von
linuxmuster-setup
der wird auf der console erledigt, oder in der WebUI als root: dann
startet der Wizard und fragt das selbe ab wie linuxmuster-setup auf der
console
LG
Holger
Das habe ich gemacht. Macht / ist der dasselbe wie der Wizard in der Web-UI?
Hallo,
ja, ist das selbe.
LG
Holger
Gut, dann hab ich den Wizard also durchlaufen.
Ich habe das aktuelle walkthrough nocheinmal laufen lassen und nun erlaubt die Web-UI das Einloggen per „global-admin“. „root“ geht auch. Beide sind nicht im LDAP. Ersterer nicht Systembenutzer. Woher holt die Web-UI ihre Nutzer?
Die Änderung am walkthrough waren die Parameter an das linuxmuster-setup. Ich übergebe jetzt alle Parameter, wenn auch leer (zB opsi-ip, das ich nicht nutze). Dubios ist übrigens die Reaktion des Scripts auf die IP-Range, wenn man sie mit „-“ angibt (richtig ist wohl ein Leerzeichen) - das gibt wirklich komische Ergebnisse. Da ich --unattended angebe vermute ich, dass das Script nicht vollständig läuft, wenn nicht alle Parameter in der Kommandozeile gegeben wurden. Kann das sein?
Aha: Die Konfiguration ist in /etc/linuxmuster/webui/config.yml. Da steht tatsächlich LDAP. BindDN ist identisch, nur die SearchDN ist „weiter“, darum habe ich die Nutzer nicht gefunden, die beiden sind nicht in OU=SCHOOLS. „root“ ist allerdings nicht drin, „root“ wird als Sonderfall über den „OSAuthenticationProvider“ authentifiziert.
Oups: Die Fehlermeldung zeigt das Passwort in Klartext an:
Ja, das habe ich auch schon mal angemerkt:
Das Erst-PW befindet sich auf dem Server in der setup.ini und steht da im Klartext. Nicht optimal – um nicht zu sagen „sub-optimal“
Naja, nicht ganz so schlimm. Mein Screenshot zeigt, dass das Passwort (auch ein nicht-erst-passwort) beim Anmelden Klartext angezeigt wird, wenn ein Fehler passiert (zB Netzwerktimeout). Steht jemand neben mir, weil ich für ihn etwas an der Web-UI machen möchte, ist das Passwort damit bekannt. Das ist bei weitem gefährlicher als ein root-only-readable Config-File auf dem Server.
Wie immer gilt: Testers & comments welcome!
2 „Gefällt mir“