Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[solved] Systemd-Journal: Gruppe anderen Gruppen zuordnen
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3208
Location: de

PostPosted: Tue Oct 16, 2018 8:37 am    Post subject: [solved] Systemd-Journal: Gruppe anderen Gruppen zuordnen Reply with quote

Irgendwie bringt mich Google hier nicht weiter. Ich hab folgendes Problem:

Wir verwenden auf Arbeit Active Directory für die Nutzerverwaltung. Darin sind auch die Linux-Gruppen enthalten. Jetzt soll eine dieser Gruppen auf einem Rechner das Recht bekommen, journalctl zu nutzen.

In der Manpage dazu steht:
Quote:
However, by default, only root and users who are members of a few special groups are granted access to the system journal and the journals of other users. Members of the the "systemd-journal", "adm", and "wheel" groups can read all journal files.


Heißt, damit ein User die System-Journals lesen darf:
Code:
gpasswd -a user systemd-journal


Bei der Gruppe steh ich jetzt vor dem Problem, dass die Nutzer ja über die AD hinzugefügt werden. Ich müsste also hier alle User der AD-Gruppe auch in die Gruppe "systemd-journal" packen, was keine brauchbare Lösung ist.

Das Journal wird nicht zwangsläufig in einer Datei gespeichert. Es ist nur persistent, wenn /var/log/journal existiert. Ich kann das also nicht über ACLs oder Gruppenrechte regeln.

Damit enstehen die beiden logischen Ansätze:
  • Gruppe meiner AD-Admins "irgendwie" mit der systemd-journal-Gruppe verknüpfen, d.h. eine Art Rolle
  • Journald so konfigurieren, dass neben systemd-journal, adm und wheel auch noch meine AD-Gruppe die Logs lesen darf.


Bei beiden Ansätzen bin ich in der Umsetzung gescheitert. Wie könnte ich das noch realisieren?


Last edited by musv on Wed Oct 17, 2018 7:43 am; edited 1 time in total
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1589
Location: Germany -> Saxony -> Leipzig

PostPosted: Tue Oct 16, 2018 1:43 pm    Post subject: Reply with quote

musv wrote:
Ich kann das also nicht über ACLs oder Gruppenrechte regeln.


Laut Manpage (https://www.freedesktop.org/software/systemd/man/systemd-journald.service.html) - Abschnitt "Access Control" - soll das jedoch per ACL funktionieren. Schon ausprobiert?
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
schmidicom
Veteran
Veteran


Joined: 09 Mar 2006
Posts: 1521
Location: Schweiz

PostPosted: Tue Oct 16, 2018 2:02 pm    Post subject: Reply with quote

Ich würde dir eher raten die AD-User über pam_group den lokalen Gruppen zuzuordnen.
https://wiki.ubuntuusers.de/Samba_Winbind/#PAM-Konfiguration

EDIT:
Leider habe ich meine eigene Konfiguration, die etwas genauer vorgegangen ist als das Beispiel von Ubuntu, "verlegt"... :oops:

EDIT2:
Das Forum hier hat wohl ein etwas längeres Gedächtnis als meine Festplatte. ;)
https://forums.gentoo.org/viewtopic-t-976038-start-0-postdays-0-postorder-asc-highlight-.html
_________________
GPG: 3FC78AEE51E5FB95
Back to top
View user's profile Send private message
musv
Advocate
Advocate


Joined: 01 Dec 2002
Posts: 3208
Location: de

PostPosted: Wed Oct 17, 2018 7:43 am    Post subject: Reply with quote

misterjack wrote:
Laut Manpage (https://www.freedesktop.org/software/systemd/man/systemd-journald.service.html) - Abschnitt "Access Control" - soll das jedoch per ACL funktionieren. Schon ausprobiert?

Danke. Scheint zu funktionieren.

schmidicom wrote:
Ich würde dir eher raten die AD-User über pam_group den lokalen Gruppen zuzuordnen.
https://wiki.ubuntuusers.de/Samba_Winbind/#PAM-Konfiguration

Interessante Idee, die ich so noch gar nicht auf dem Schirm hatte. Danke. Werd ich mal testen.
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum