Benutzerauthentifizerung und -verwaltung¶
Basis-Ausstattung (passwd/shadow)¶
OpenSLX Clients brauchen wie normale Linux-Workstations auch eine Grundausstattung an Benutzern. Diese sind üblicherweise in /etc/passwd und /etc/shadow definiert. Aus Sicherheitsgründen sollten dabei nicht alle Einstellungen der Ausgangsmaschine (Cloning per rsync, siehe Installer) übernommen werden. Bei einer Installation aus RPM/Deb/... Quellen sind u.U. auch nicht alle später notwendigen (System)User komplett angelegt.
Die /etc/shadow ist auf einer einfachen Client schlechter geschützt als auf einer Workstation, dafür kann sie jedoch nur temporär manipuliert werden. Die shadow wird damit inklusive Rootpasswort jedes Mal neu generiert und deshalb beim Rsync per Exclude ausgeschlossen.
- bin, daemon, sys, ... werden aus der Vorlagendatei (kopiert vom Referenzsystem oder aus Paketinstallation) erzeugt, wobei alle User größer 500 entfernt werden. Die shadow wird anhand der passwd aufgefüllt, wobei alle User ausser "root" ein Sperrvermerk im Passwortfeld haben.
- Weitere Benutzer werden nur angelegt, wenn die jeweiligen Dienste dieses erfordern (so haben beispielsweise der dbus und der gdm Dienst eigene Benutzer-IDs).
- root-Passwort setzen siehe: HowToChangeTheRootPassword bzw. das Authentication Plugin
Alternativ kann auch einfach eine shadow via ConfTGZ via erweiterter ClientConfiguration zur Verfügung (aus /var/lib/openslx/config/.../etc/...) gestellt werden.
Externe Authentifizierungsquellen¶
Meistens wird man reale Benutzer nicht über die Unix-Dateien verwalten, sondern per LDAP, NIS, Samba, AFS oder ähnlichem zur Verfügung stellen. Die notwendigen Konfigurationsdaten stellt man am besten via erweiterter ClientConfiguration zur Verfügung (aus /var/lib/openslx/config/.../etc/...).
Bei externen Authentifizierungsquellen muss darauf geachtet werden, dass die Rechte für den Device-Zugriff entsprechend erhalten bleiben oder angepasst werden.