Subsections

Benutzerverwaltung

Die Benutzer (in diesem Beispiel Username newusername) müssen drei mal eingetragen werden:

In Kerberos (zur Authentifizierung)

kadmin.local -q "ank newusername"

Der Benutzer kann später sein Passwort selbst ändern:

kpasswd newusername


Lebensdauer der Tickets

Mit dem folgenden Befehl wird die maximale Lebensdauer der Service-Tickets für alle Benutzer gesetzt (muss nur einmal ausgeführt werden):

kadmin.local -q "modprinc -maxlife \"7 days\" krbtgt/SED.ETHZ.CH@SED.ETHZ.CH"
kadmin.local -q "modprinc -maxlife \"7 days\" afs@SED.ETHZ.CH"

Der folgende Befehl setzt die maximale Lebensdauer für den neuen Benutzer (muss für jeden Benutzer zusätzlich zu den beiden obigen ausgeführt werden):

kadmin.local -q "modprinc -maxlife \"7 days\" newusername"

Dies ist nur wirksam, wenn die entsprechenden Grenzen auch in /etc/krb5kdc/kdc.conf (Option max_life und max_renewable_life) genug hoch gesetzt sind und der Benutzer kinit mit der Option -l benutzt, z.B.:

kinit -l 2d # get a ticket with two days lifetime
aklog       # aklog gets a token with the same lifetime as the ticket
klist       # optional, check the kerberos tickets
tokens      # optional, check the afs tokens

In AFS

pts createuser -name newusername -id 1023

Die Angabe von -id <nummer> ist freiwillig, es ist aber zu empfehlen, die Unix-ID (UID), die auch in LDAP oder /etc/passwd verwendet wird anzugeben.

Danach muss noch das Home-Verzeichnis des Benutzers erstellt und die Zugriffsrechte gesetzt werden:

kinit admin
aklog
mkdir /afs/sed.ethz.ch/home/newusername
fs setacl /afs/sed.ethz.ch/home/newusername newusername rwlidk

Mögliche Zugriffsrechte:

Benutzer aus ACLs löschen: Bei den Permissions 'none' setzen. Beispiel:

fs setacl /afs/sed.ethz.ch/gse/IDCproducts/REB sarah none

Die Rechte können auch für Gruppen vergeben werden. Drei Gruppen sind vom System vorgegeben:

Andere Gruppen können selbst angelegt werden.

pts creategroup -name <group name> [-owner <owner of the group>]

Benutzer zu einer AFS-Gruppe hinzufügen:

     
newseismo:/afs/sed.ethz.ch# pts adduser -user conti -group sed

newseismo:/afs/sed.ethz.ch# pts adduser -user heimers  -group sed

Bestehende Gruppe anzeigen:

newseismo:/afs/sed.ethz.ch# pts examine sed
Name: sed, id: -206, owner: admin, creator: admin,
  membership: 2, flags: S-M--, group quota: 0.
newseismo:/afs/sed.ethz.ch# pts membership sed
Members of sed (id: -206) are:
  heimers
  conti

Für Details siehe

http://www.openafs.org/pages/doc/UserGuide/auusg008.htm#HDRWQ60

In LDAP

Für den neuen Benutzer eine Datei nach folgendem Muster anlegen:

dn: uid=newusername,ou=People,dc=sed,dc=ethz,dc=ch
cn: Newusername at the SED
sn: Newusername
uid: newusername
uidNumber: 1326
gidNumber: 1021
homeDirectory: /afs/sed.ethz.ch/home/newusername
loginShell: /bin/bash
roomNumber: HPP P9
mobile: +41 79 12 34 56
objectClass: top
objectClass: posixAccount
objectClass: inetOrgPerson

Die Datei speichern unter newusername.ldif und folgenden Befehl ausführen:

ldapadd -x -D "cn=Manager,dc=sed,dc=ethz,dc=ch" -W -f newusername.ldif

Bei Änderungen an der Datei muss ldapmodify statt ldapadd verwendet werden:

ldapmodify  -x -D "cn=Manager,dc=sed,dc=ethz,dc=ch" -W -f newusername.ldif

Alle LDAP-Daten anzeigen:

ldapsearch -x

Stefan Heimers 2011-02-25