Ideen zur idealen Benutzerverwaltung gesucht

[sarahb523]

Ich möchte meine wissen über benutzerverwaltung etwas erweitern und bei mir überhaupt mal sowas vernünftig einführen.

derzeitige lage:
2 hauptsächliche gruppen:
-user
-root

Alle Benutzer sind in user drin. Das Problem ist, das auch zwischen den usern daten ausgetauscht werden soll. D.h. es gibt ein /home/daten/share wo jeder machen kann was er will. Naja nicht ganz, da gibt's schon das erste problem:

erstellt ein user in /home/daten/share eine datei, so wird sie mit den rechten rw-r--r-- erstellt. Das ist normalerweise ok, aber eben nicht in diesem ordner. dort wäre per default rw-rw-r-- besser. Denn sonst kann niemand anderes auf die datei schreiben, da der sinn des share ordners ist, das eben alle lesend+schreiben drauf zugreifen können. Vor allem wenn der Ersteller der datei gerade nicht da ist und vergessen hat für die gruppe +w zu setzen gibt's probleme. Einige Benutzer haben sich selbst geholfen, da sie untereinader ihre Passwörter kennen. Allerdings wird dann auch das home des anderen als "share" mißbraucht, was ich eigentlich vermeiden möchte. Manche bei denen das zu oft passiert kennen auch das root pass, daher helfen die sich selbst.
wenn schon vorher feststeht das einige nutzer zusammen an einem projekt arbeiten wollen, dann arbeiten alle betreffenden user mit dem gleichen user (entweder ein neuer, nur für dieses projekt, oder ein account der teilnehmer)

Allem in allem ist die rechte verwaltung ziemlich sinnlos, da irgendwie alles durcheinader geht. Glücklicherweise kann ich den Benutzern vertrauen und daher ist das nur halb so schlimm, aber irgendwie würde ich das besser machen wollen.

Da ich verwalterin und besitzerin des system bin würde ich meinem user-account gern mehr rechte geben. Momentan darf ich das was die user auch können, aber ich würde die normalen rechte die ich jetzt habe + die rechte die die anderen user haben besitzen. Denn dann kann ich ein vergessenes g+w in share setzen ohne gleich root zu werden.

Ein weiteres Rechte Problem betrifft ssh. Ich würde gerne nur bestimmte benutzer erlauben sich einzuloggen, bzw. das einige benutzer sich nicht per ssh einloggen können.

Wie definiere ich eigentlich Benutzer die ihr home nicht verlassen dürfen? Also diese sollen auch keine leserechte auf irgendwelche dateien außerhalb ihres home haben.

Ich würde auch gern die rechte verwaltung zentral bündeln. Login, samba, nfs, web,... überall gibts entweder ne ganze oder halbe extra verwaltung von nutzern. Ich würde das gern irgendwie bündeln, sodas ich mal schnell sagen kann. nutzer A darf samba:/musik nutzen., oder eben was anderes....
Ich denke da irgendwie an LDAP, ich habe das zwar vor längerm mal versucht, aber ich kam damit nicht klar. Schön wäre nen webfrontend dafür. Allerdings weiß ich nicht ob das der richtige weg ist.

Hmm Fragen über Fragen....

Naja bisher beschränkte sich bei mir user verwaltung auf benutzer anlegen/löschen und bei den einzelnen dateien die rechte via kde/mc/chmod zu setzen.

Kann mir hier jemand nen Rat geben wie ich meine user endlich geordnet bekomme?

Danke!
_________________
AMD Sempron 2400+ / 1GB RAM / NVidia Geforce 5200FX /
Kernel 2.6.31-gentoo-r4 / kde 4.3

[primat]

Ich glaube, Du solltest Dir mal Access Control Lists (ACL) anschauen.
Gruss

[ruth]

hallihallo...

[slick]

[sarahb523]

@rootshell
das mit den beiden files muß ich mir mal genauer ansehen, sieht aber interessant aus.

phpldapadmin is ja richtig supi. außerdem paßt es so super zu phpmyadmin und dem php postgresql admin tool

@primat
ACL is das das system was in win2k genutzt wird?
Wenn ja dann könnte das genau das sein was ich suche. Denn so einfach wie man in win2k rechte vergeben kann hätte ich das in linux auch gern. Im prinzip suche ich object bezogene rechteverwaltung. Also ich möchte nicht sagen das ein user bestimmte rechte hat, sondern ein objekt soll eine eigenschaft tragen von wem es gelesen/bearbeitet/... werden kann. Dabei sollte es immer möglich sein user hinzuzufügen egal welche gruppe sie sind.
_________________
AMD Sempron 2400+ / 1GB RAM / NVidia Geforce 5200FX /
Kernel 2.6.31-gentoo-r4 / kde 4.3

[ruth]

hi nochmal,

du hattest auch gefragt, wie du user anlegen kannst, die ihr /home
nicht verlassen dürfen...
also je nachdem geht man hier bis zu einem chroot-login: