• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Benutzer Auf Server zentral verwalten?

Xero

Member
Hallo alle zusammen,

Ich hätte da mal eine Problem:

Ich betreibe ein kleines Netz in einer Schule (nur ca. 12 Clients, ein Server, zum Internet-Surfen und Open-Office nutzen), und will jetzt, dass sich jeder Schüler und jeder Lehrer (zusammen ca. 1200) von jedem Rechner aus mit eigenem Benutzernamen und Passwort, und natürlich Home-Verzeichniss anmelden können.

Wie kriege ich dass hin, sowohl client- als auch Server-Seitig? Was für Hardware-Vorraussetzungen sollte der Server erfüllen, vorallem, wie viele Speicherplatz wird pro User benötigt (jetzt ohne dass jeder hunderte von Filmen runterläd, wird wohl nur die Standartsachen sein, mehrere Favouriten und vielleicht noch ein paar Office-Dokumente )

Kennt jemand ein gutes HOWTO für sowas? Ich habe ein paar Sachen gelesen, aber noch nichts genug ausführliches!

Außerdem sollte jeder Zugriff mit Start- und End-zeiten mitgeloggt werden.

Alle Rechner haben SuSE 9.0 Professional.
 
Nimm eine grosse scnelle Festplatte (120 GB) und leg /home darauf. Auf dem Linuxrechner müssen alle Benutzer mit Namen und Passwort angelegt werden. In /etc/hosts müssen alle Rechner mit IP name.domain name eingtragen werden. Nimm feste IP's für jeden Rechner, das erleichtert die Arbeit und Fehlersuche.
Auf den Clients müssen ebenfalls alle Benutzer eingerichtet werden. Als defaultgateaway und Nameserver wird jeweils der Server angegeben.
Auf dem Server noch Internet einrichten.
Welches OS nutzen die Clients?
 

Klaus

Newbie
dirk viher schrieb:
Auf den Clients müssen ebenfalls alle Benutzer eingerichtet werden.

ÄÄhh !?

Wozu gibt es dann "Benutzerverwaltungen"

Ein Server ist ja dazu da, die Benutzer zentral zu verwalten um eben NICHT alle user auf jedem Gerät einrichten zu müssen!!! Ich geh mal davon aus, dass du dich vertippt hast :wink:

@ xero

Es gibt da ein paar Tools (z.B. über Webmin) mit denen man die Benutzer recht gut verwalten kann. Ganz wichtig ist dabei die Anzahl der user. Wenn es "zu viele" werden brauchst du schon eine proffesionellere Lösung z.B. mit LDAP.

kmuser soll auch nicht schlecht funktionieren, hab ich aber noch nie selber verwendet.

Gruß

Klaus
 

nobbiew

Hacker
Das ganze scheint ja wohl die klassiche Aufgabe einer NIS-Domäne zu sein. D.h du musst am Server einen sog NIS (o. YP)-Server aufziehen und alle Klients als NIS-Klients konfigurieren. Das Home-Verzeichnis am Server wird dann per NFS (NetworkFileSystem) in der /etc/fstab der Klients nach /home gemounted.
 
OP
X

Xero

Member
Danke für die Vorschläge, ich denke mal das mit NIS und NFS hört sich gut an.

Mit dem ersten Vorschlag (von dirk viher) habe ich noch Verständniss-Probleme, und es wäre wirklich nichts, wenn auch alle Benutzer auf den clients angelegt werden müssten (wie Klaus dann auch gesagt hat).

Hätte denn jetzt noch jemand eine gute Seite, wo ich mir Infos oder am bsten ein HOWTO für sowas runterladen könnte? Oder wäre jemand, der sich damit auskennt, bereit, eine Kurzanleitung zu posten.

Danke für die Vorschläge
 
Welches OS soll auf die Clients drauf?
Wie soll sich der Benutzer auf jeden Rechner anmelden können, wenn er nicht eingrichtet ist.
Welche Benutzer soll der Server vewalten, wenn keine angelegt worden.
Bei W2K, XP, Linux muss sich der Benutzer eh am PC anmelden, oder du gibst jedem das root- bzw. Administratorpasswort.
Wenn einer seine Späße treibt, kannst du ihn am Namen erkennen, wenn nicht alle den gleichen Namen haben.
Eien Win-Client (Win98) an NFS zu binden hat bei mir nicht geklappt.(XP hab ich noch nicht probiert.)
Du kannst auch ein großes Verzeichnis freigeben, das Passwort öffentlich ausschreiben und drum bitte, keine persönlichen Daten zu speichern, da für jeden zugänglich. Wenn du für jeden Benutzer etwas privaten Platz haben willst, wirst du um die Arbeit nicht herumkommen.
Das was du vorhast, lassen sich Computerfirmen gut bezahlen.
 

admine

Ultimate Guru
@dirk viher

du hast, scheints, noch nie was von NIS gehört bzw. dich damit beschäftigt.

NIS, als Datenbanksystem zu verstehen, ermöglicht Zugriff auf Dateien der Benutzerverwaltung (/etc/passwd, /etc/shadow und /etc/group) in einem Netzwerk.
=> zentrale Benutzerverwaltung.

Dazu: http://www.linuxfibel.de/nis_srv.htm
und http://www.linuxfibel.de/nis_cli.htm
 
Ich fahre kein NIS, da ich Win-Rechner im Netz habe.
Ich muss doch aber erst Benutzer anlegen, bevor ich sie verwalten kann egal wie oder liege ich da falsch?
Wenn ich mich auf einem XP- oder Linuxrechner als Benutzer anmelden will, muss der Benutzer vorher mit den jeweiligen Rechten angelegt werden.
Es geht ja nicht nur um den Server. Die Clients müssen auch eingrichtet werden. Je detaillerter, desto sicherer.
NIS: In meiner /etc/group sind zu jeder Gruppe die zugehörigen Benutzer angegeben. Ergo musste ich sie anlegen. Ich habe die Rechte einiger Benutzer eingeschränkt. Der NFS-Server exportiert die Dateisysteme auf die Rechner, die bei ihm eingetragen sind (/etc/exports). Woher weiß der Server, welcher Benutzer auf welchem Client angemeldet ist und welche Rechte der hat?
Was mach ich mit Winclients?
Wenn ich mich irre, danke ich für jede Info.
 

admine

Ultimate Guru
Ja klar, Benutzer werden angelegt.
Nur geschieht die gesamte Benutzerverwaltung nur am NIS-Server.

Und für Netzwerke mit Win ist SAMBA in Verbindung mit winbind zur Benutzerverwaltung geeignet.
winbind ist ein Weg, der die Benutzerverwaltung von Linux und Windows NT vereinheitlicht. Dies geschieht mit denselben Protokollen, die eine NT-Workstation in eine NT-Domäne aufnehmen. Sämtliche Benutzer und Gruppen der Domäne erscheinen unter Linux wie normale Benutzer. winbind realisiert dies auf dem gleichen Weg, wie NIS die Benutzerdatenbank von einem NIS-Master importiert.
 
Wie schränke ich Rechte ein, wenn also Lehrer auf Dateien zugreifen können, auf die Schüler nicht kommen? NFS macht doch den Export für Rechner und nicht für Benutzer.
Er will doch, das jeder Benutzer von jedem Rechner aus arbeiten kann. Also müssen doch auf jedem Rechner alle Benutzer angelegt werden.
 
A

Anonymous

Gast
Hallo dirk viher,

dir ist schon klar das du da unheimlichen Quatsch schreibst, oder? Warum müssen denn deiner Meinung nach alle User auf den Clients angelegt werden. Was meinst du was der Sinn einer Domäne ist?
 

DemoFreak

Member
@cybermailer: Du hast so eine Art, das den Leuten mit einem großen Hammer an den Kopf zu hauen, das ist richtig herzerfrischend. Vielleicht bekommst Du es hin, den Hammer eine Nummer kleiner zu wählen? :D :p

dirk viher schrieb:
Wie schränke ich Rechte ein, wenn also Lehrer auf Dateien zugreifen können, auf die Schüler nicht kommen? NFS macht doch den Export für Rechner und nicht für Benutzer.
Er will doch, das jeder Benutzer von jedem Rechner aus arbeiten kann. Also müssen doch auf jedem Rechner alle Benutzer angelegt werden.
Die Berechtigungen werden für den vom Server exportierten Benutzer vergeben, um es mal mit einfachen Worten auszudrücken. Unter Unix ist das recht einfach, weil da nur die numerische UID zählt, d.h. wenn eine Datei dem User mit der UID 500 gehört, dann ist es recht egal, ob der nun auf dem lokalen Rechner der Egon ist (oder ob er auf dem lokalen Rechner gleich mal gar nicht vorhanden ist), es zählt einfach die UID des Benutzers vom NIS-Server. Wenn der die 500 hat, gehört ihm die Datei.

Am Rande: unter Windows ist das so ähnlich. Da ist der Benutzername auch vollkommen wurst, es zählt einzig die SID (sieht man, wenn man z.B. den Mülleimer mal mit einem Tool wie dem Total Commander öffnet. Dann sieht man Verzeichnisse mit einem Namen in Form einer elend langen Nummer, das ist die SID des Benutzers, der die Datei gelöscht hat). Diese SID ist allerdings im Gegensatz zu den Unix-UIDs weltweit eindeutig, d.h. wenn man einen Benutzer einmal gelöscht hat, kann man ihn nie wieder genauso anlegen.

Der Sinn der Übung ist, dass man eben nicht auf allen Rechnern Benutzerdatenbanken pflegen muss, sondern das zentral administrieren kann. Alle Berechtigungs- bzw. Authentifizierungsanfragen werden dann von den Clients nicht selbst beantwortet/bearbeitet, sondern vom Server. In unserem Fall der NIS-Server, unter Windows ist das der Domain Controller.
 
A

Anonymous

Gast
Hallo DemoFreak,

so so. Die Benutzer weren also vom Server exportiert. Da hab ich dann auch wieder was dazu gelernt. Ich hab bisher immer gedacht das die User dort verwaltet werden.
 
OP
X

Xero

Member
Ich habe mir die Links von admine angeshen, bin sehr zuersichtlich!! Vielen dank, admine! Werde das ganze mal(nach ein bisschen Lektüre) in kleinem Rahmen ausprobieren.

Und in einer Domäne ist es wirklich nicht der Sinn, dass auf jedem Rechener alle Benutzer angelegt weerden müssen (ich kenne das als Win-Dömane, suche das gleiche in Linux,hab ich jetzt ja auch gefunden :lol: ), sonder nur Zentral auf dem Server.

Vielen Dank für alle Tipps,
 

DemoFreak

Member
@cybermailer: sag mal, Du oller Streithammel :D, was hab ich da oben geschrieben? Hast Du die Formulierung "um es mit einfachen Worten auszudrücken" gelesen? Wenn der Server den Dienst "Vorhalten von Benutzerinformationen/Übernahme der Benutzerauthentifizierung" bereitstellt, ist es wohl selbstverständlich, dass die Benutzerdatenbank auf dem bewussten Server verwaltet wird. Beim NFS-Server spricht man auch von Export, und trotzdem liegen die Dateien auf dem Server und werden nicht wirklich weggegeben. Ist dieser Begriff denn Deiner Meinung nach so weit hergeholt?

@dirk viher: also nochmal, auf Grund eines nicht völlig unberechtigten Einwandes von cybermailer: denk Dir um das Wort "exportiert" ein paar Anführungszeichen. Der Server stellt einen Dienst bereit, der den Clients das Authentifizieren ihrer Benutzer ermöglicht, ohne dass sie selbst eine Benutzerdatenbank pflegen müssen. Er exportiert nicht die Benutzer, sondern nur die Informationen in der bei ihm verwalteten Benutzerdatenbank.
 
Das habe ich soweit auch verstanden.
Wie ist es mit Rechte auf dem client auf dem ich mich anmelde. Legt der Server auch fest, an welche Daten ich rankomme die auf dem client liegen und nicht vom Server "exportiert" werden? Kann ich die Benutzerverwaltung auf meinem XP-Rechner inclusive Zugriff auf Progamme und Dateien auf dem XP-Rechner von einem Server machen lassen?
 
A

Anonymous

Gast
Hallo dirk viher,

was dir fehlt ist das grundlegende Wissen über lokale Benutzer und Domänenbenutzer. Ebenso solltest du dich mal mit Benutzerprofilen beschäftigen. Die Administration von Windows- bzw. Samba-Domänen ist keine triviale Sache. Die Grundlagen sollten da zumindest vorhanden sein. Deine Fragen diesbezüglich zeigen aber, das diese Grundlagen bei dir nicht gegeben sind.

Das soll jetzt keine negative Bewertung deiner Person darstellen, nur ist es hier im Forum sehr schwierig anhand von Kurznachrichten diese Grundlagen zu vermitteln. Dazu gibt es haufenweise Literatur und Anleitungen im Netz. Du solltest dir wenigstens erstmal eine gesunde Basis schaffen.
 
Hab das Buch "Linux im Netz" leider verborgt. Ich habe bis jetzt auch immer über Samba Win und Linuxrechner mit einander verbunden. Habe bei Win98, XP und NT immer Benutzer angelegt für die Rechte auf Win und diese auf Linuxrechner übernommen um Samba einzurichten und ein homeverzeichnis für jeden zu haben. Mir war nur wichtig, ob ich einen Unterschied zw. den Benutzern auf dem client und im Netz machen muss. Wenn ich mich bei Win anmelde, muss Win ja irgendwo herwissen, das Name und Passwort korrekt sind. Diese Datenbank hatte ich auf jedem Rechner.
Nicht jeder Benutzer konnte sich auf jedem Rechner anmelden.
Sollte ich mal viel Zeit haben oder es brauchen, werd ich mich einarbeiten. Mein System läüft, ich es brauche und das reicht mir.
Hatte mich nur interessiert, ob ich das auch einfacher hätte machen können.
 
A

Anonymous

Gast
Hallo dirk viher,

Deine komplette letzte Äusserung bestärkt mich leider in meinen Überlegungen, wieviel Sinn es überhaupt noch macht solchen Leuten wie dir zu antworten. Nur so zum Spass ist mir die ganze Sache eigentlich zu schade. Das Problem ist nur rauszufinden bei welchen Leuten es Sinn macht, und bei welchen nicht.
 

tux486

Member
Hallo Xero,

ohne in eine persönliche Diskussion fallen zu wollen :D , möchte ich Dir raten, einen sicheren Server mit einer möglichst "sicheren" Benutzerverwaltung zu benutzen.

Grundsätzlich ist NIS für Dein Anliegen zwar geeignet. Aber: NIS überträgt sensible Daten unverschlüsselt über das Netz (das gilt auch für NFS bzw. das Gespann NIS/NFS, das eigentlich immer in einem Atemzug zusammen genannt wird). Das ist normalerweise in Umgebungen unkritisch, die von einer Firewall gegen das "unsichere" Internet abgeschirmt sind. Allerdings gibt es in großen lokalen Umgebungen immer Angriffe von innen. In Deinem Falle (1.200 Benutzer) würde ich diese Gefahr nicht unterschätzen. Es gibt bestimmt Schüler, die den Lehrern und der Schule etwas beweisen wollen und sich mit dem Knacken der Schulnetzes "einen Spaß erlauben" werden. Wenn das gelingt, ist in aller Munde "Linux unsicher", obwohl nur die Lösung für die Problemstellung ungeeignet war. Gerade im Bezug auf die grundsätzlich schützenswerten Informationen, die möglicherweise die Lehrer speichern, würde ich mit Zugangsdaten nicht spaßen.
Mein Tip: Für die Benutzerverwaltung OpenLDAP mit verschlüsseltem Protokoll (ggf. mit Erweiterung Kerberos).
Die Benutzer werden einmal auf dem LDAP-Server angelegt und gepflegt. Alle anderen Rechner authentifizieren sich gegen den LDAP-Server.
Falls einmal Windows-Clients dazu kommen, kannst Du die Lösung auf Samba übertragen. Auch Linux-Clients können auf Samba-Freigaben zugreifen.
Falls das Problem "Email" dazu kommt, können meines Wissens Postfix und Cyrus-IMAP ebenfalls mit LDAP-Benutzerdaten zur Authentifizierung umgehen. Ein Emailserver für 1.200 Benutzer wird aber schon "eine Aufgabe" sein.

Wie genau Du das konfigurieren sollst, kann ich Dir leider nicht sagen, weil ich selbst an so einem Problem kaue (aber nur für viel, viel weniger Benutzer: vier; nur für meine Familie ;-) und zum eigenen Verständnis der Zusammenhänge und wie man so etwas macht). Aber Du hast jetzt mal die Richtung, in die Du denken solltest. :D
 
Oben