View previous topic :: View next topic |
Author |
Message |
musv Advocate
Joined: 01 Dec 2002 Posts: 3333 Location: de
|
Posted: Tue Oct 16, 2018 8:37 am Post subject: [solved] Systemd-Journal: Gruppe anderen Gruppen zuordnen |
|
|
Irgendwie bringt mich Google hier nicht weiter. Ich hab folgendes Problem:
Wir verwenden auf Arbeit Active Directory für die Nutzerverwaltung. Darin sind auch die Linux-Gruppen enthalten. Jetzt soll eine dieser Gruppen auf einem Rechner das Recht bekommen, journalctl zu nutzen.
In der Manpage dazu steht:
Quote: | However, by default, only root and users who are members of a few special groups are granted access to the system journal and the journals of other users. Members of the the "systemd-journal", "adm", and "wheel" groups can read all journal files. |
Heißt, damit ein User die System-Journals lesen darf:
Code: | gpasswd -a user systemd-journal |
Bei der Gruppe steh ich jetzt vor dem Problem, dass die Nutzer ja über die AD hinzugefügt werden. Ich müsste also hier alle User der AD-Gruppe auch in die Gruppe "systemd-journal" packen, was keine brauchbare Lösung ist.
Das Journal wird nicht zwangsläufig in einer Datei gespeichert. Es ist nur persistent, wenn /var/log/journal existiert. Ich kann das also nicht über ACLs oder Gruppenrechte regeln.
Damit enstehen die beiden logischen Ansätze:
- Gruppe meiner AD-Admins "irgendwie" mit der systemd-journal-Gruppe verknüpfen, d.h. eine Art Rolle
- Journald so konfigurieren, dass neben systemd-journal, adm und wheel auch noch meine AD-Gruppe die Logs lesen darf.
Bei beiden Ansätzen bin ich in der Umsetzung gescheitert. Wie könnte ich das noch realisieren?
Last edited by musv on Wed Oct 17, 2018 7:43 am; edited 1 time in total |
|
Back to top |
|
|
misterjack Veteran
Joined: 03 Oct 2004 Posts: 1646
|
Posted: Tue Oct 16, 2018 1:43 pm Post subject: |
|
|
musv wrote: | Ich kann das also nicht über ACLs oder Gruppenrechte regeln. |
Laut Manpage (https://www.freedesktop.org/software/systemd/man/systemd-journald.service.html) - Abschnitt "Access Control" - soll das jedoch per ACL funktionieren. Schon ausprobiert? _________________ „Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
Back to top |
|
|
schmidicom Veteran
Joined: 09 Mar 2006 Posts: 1921 Location: Schweiz
|
|
Back to top |
|
|
musv Advocate
Joined: 01 Dec 2002 Posts: 3333 Location: de
|
Posted: Wed Oct 17, 2018 7:43 am Post subject: |
|
|
Danke. Scheint zu funktionieren.
Interessante Idee, die ich so noch gar nicht auf dem Schirm hatte. Danke. Werd ich mal testen. |
|
Back to top |
|
|
|