Univention Bugzilla – Bug 3567
Standard-Benutzern den Zugriff auf Sound-Devices erlauben
Last modified: 2013-03-26 09:14:29 CET
Auf einer Standardinstallation hat ein normaler User keine Zugriffsrechte auf das Sounddevice. Wir brauchen hier ein Konzept, wie das über das Managementsystem administriert werden kann. Debian default ist die Mitgliedschaft in der Gruppe "sound", das ist aber eine lokale Gruppe. Ausserdem kommen bei der Abbildung über Gruppen Probleme mit mehr als 32 Gruppenmitgliedschaften auf.
Es sollte ein Paket bereitgestellt werden, welches an einer Gruppe in Univention Admin einen neuen Reiter mit der lokalen Gruppenmitgliedschaft öffnet. Dabei sollte eine oder mehrere Gruppen ausgewählt werden und die Gruppenmitglieder werden in die lokale /etc/group Datei synchronisiert. Das sollte als Addon Paket bereitgestellt werden.
Die Pakete befindet sich unter cvs/packages/tools univention-listener-addon <---für LDAP Server univention-listener-client <---für die Clients mit Listener Ein Foren Artikel wurde erstellt: http://www.univention.de/forum/viewtopic.php?t=285
Kommentare liegen bei Bastian
im CVS unter packages/univention Paketname: univention-ldap-localgroups
Kein 1.3-3.
Bitte mal prüfen.
Beim hinzufügen des ersten Benutzers in eine neu erstelle Gruppe mit lokalen Mitgliedschaften gibt es reproduzierbar einen Traceback: <snip listener.log> Traceback (most recent call last): File "/usr/lib/univention-ldap-listener/system/addon-localgroup.py", line 39, in handler rm_uperm(old['uniqueMember'], old['univentionLocalGroupMember']) KeyError: 'uniqueMember' </snip> Der Benutzer ist anschließend nicht Mitglied der lokalen Gruppe. Fügt man weitere Benutzer zu der Domänengruppe hinzu gibt es keinen Traceback und auch der 1. Benutzer wird den lokalen Gruppen zugeordnet.
Ich habe das ganze auf einem frisch installierten 1.3-2 System getestet. Dieses ist unter 10.200.12.180 erreichbar. Ich habe eine neue Gruppe hinzugefügt, dieser einen Benutzer zugeordnet und die Gruppe als Mitglied der loakeln Gruppe audio eingetragen. Das Hinzufügen funktionierte ohne traceback. Auszug aus der listener.log: Adding user test1 to group audio Ich werde die VM anlassen evtl habe ich etwas bei der Reproduktion anders gemacht... Hier das genaue vorgehen: Im Univention-Admin wurden 5 Benutzer angelegt. Eine Gruppe wurde 1 Benutzer zugeordnet und diese dann erstellt. Nachträglich wurde die lokale Gruppe zugeordnet. (Kein Traceback) Eine Gruppe wurde mit zwei Benutzern und einer lokalen gruppenmitgliedschaft erstellt. (Kein traceback)
(In reply to comment #8) > Ich habe das ganze auf einem frisch installierten 1.3-2 System getestet. Dieses > ist unter 10.200.12.180 erreichbar. > > Ich habe eine neue Gruppe hinzugefügt, dieser einen Benutzer zugeordnet und die > Gruppe als Mitglied der loakeln Gruppe audio eingetragen. Das Hinzufügen > funktionierte ohne traceback. > Der Traceback lässt darauf schliessen, das erst die Gruppe angelegt wurde, dann die Gruppe einer lokalen Gruppe hinzugefügt wurde und erst dann ein Gruppenmitglied hinzugefügt wurde. Funktioniert das auch?
der Traceback konnte reproduziert werden. Wenn einer Gruppe die Mitglied in einer lokalen Gruppe ist ein Benutzer zugeordnet wird. Gibt es beim ersten Benutzer einen Traceback.
Der Fehler bestand darin, das bei jedem durchgang geprüft wird ob noch alle Gruppenmitglieder inder Gruppe sind um ggf Ihre Mitgliedschaft in der lokalen Gruppe zu entfernen. Ich habe eine Abfrage eingebaut die überprüft ob überhaupt Mitglieder in der Gruppe enthalten sind und somit diesen traceback verhindert.
VERIFIED
*** Bug 8478 has been marked as a duplicate of this bug. ***
Das Paket gibt es noch garnicht für 2.0.
(In reply to comment #14) > Das Paket gibt es noch garnicht für 2.0. Das Paket ist jetzt importiert. Es müssen aber noch mindestens folgende Dinge getan/korrigiert werden: - Das Join-Skript hat noch keine Versionsnummer - intern wird noch der alte Name univention-listener-addon verwendet Sollten das nicht besser zwei Binärpakete sein? Eins mit dem Listener-Modul und ein weiteres mit den Schemata und dem Join-Skript?
(In reply to comment #15) > (In reply to comment #14) > > Das Paket gibt es noch garnicht für 2.0. > > Das Paket ist jetzt importiert. Es müssen aber noch mindestens folgende Dinge > getan/korrigiert werden: > > - Das Join-Skript hat noch keine Versionsnummer > - intern wird noch der alte Name univention-listener-addon verwendet Außerdem sind da noch Aufrufe von univention-baseconfig und /etc/init.d/univention-ldap-listener im postinst
(In reply to comment #15) > (In reply to comment #14) > > Das Paket gibt es noch garnicht für 2.0. > > Das Paket ist jetzt importiert. Es müssen aber noch mindestens folgende Dinge > getan/korrigiert werden: > > - Das Join-Skript hat noch keine Versionsnummer > - intern wird noch der alte Name univention-listener-addon verwendet > > Sollten das nicht besser zwei Binärpakete sein? Eins mit dem Listener-Modul und > ein weiteres mit den Schemata und dem Join-Skript? Soll das in der 2.0 wirklich ein Add-On bleiben? Ich denke Schema und Join-Skript sollten in den Default-Paketen aufgehen und das Zusatzpaket das Listener-Modul mitbringen. Das müsste dann automatisch auf Desktop-Systemrollen installiert werden.
(In reply to comment #17) > (In reply to comment #15) > > (In reply to comment #14) > > > Das Paket gibt es noch garnicht für 2.0. > > > > Das Paket ist jetzt importiert. Es müssen aber noch mindestens folgende Dinge > > getan/korrigiert werden: > > > > - Das Join-Skript hat noch keine Versionsnummer > > - intern wird noch der alte Name univention-listener-addon verwendet > > > > Sollten das nicht besser zwei Binärpakete sein? Eins mit dem Listener-Modul und > > ein weiteres mit den Schemata und dem Join-Skript? > > Soll das in der 2.0 wirklich ein Add-On bleiben? Ich denke Schema und > Join-Skript sollten in den Default-Paketen aufgehen Ja, finde ich gut. > und das Zusatzpaket das > Listener-Modul mitbringen. Das müsste dann automatisch auf Desktop-Systemrollen > installiert werden. Aber brauchen wir denn nur für das Listener Modul noch ein extra Paket? Vielleicht könnten die Metapakete der Systemrollen das mitbringen (also bspw. univention-mobile-client)
(In reply to comment #18) > > und das Zusatzpaket das > > Listener-Modul mitbringen. Das müsste dann automatisch auf Desktop-Systemrollen > > installiert werden. > > Aber brauchen wir denn nur für das Listener Modul noch ein extra Paket? > Vielleicht könnten die Metapakete der Systemrollen das mitbringen (also bspw. > univention-mobile-client) mhm, das sollte seinen optionalen Charakter nicht verlieren, d.H. auf Man/Mob-Client deinstallierbar und auf Servern installierbar sein.
*** Bug 5928 has been marked as a duplicate of this bug. ***
Mit UCS 2.3 hat man auf einem mobile Client weiterhin keinen Sound, mitlerweile heisst die notwendige Gruppenmitgliedschaft "audio". Alternativ könnte man die udev-Regeln so ändern, dass "Domain Users" ausreichend Berechtigungen bekommt.
Ich glaube wir sollten hier vor allem für die Managed und Mobile Clients eine Lösung schaffen. Für Sound könnten wir relativ einfach die udev-Regeln anpassen. Allerdings müssten wir das auch für weitere Dienste machen, bspw. powersave usw. Die Alternative ist es, die Benutzer in die lokalen Gruppen per Listener Modul zu synchronisieren. Ggf. ist das für grosse Umgebungen nicht so gut.
Siehe auch Bug #22431.
Eine Umsetzung könnte über pam_group erfolgen: http://linux.die.net/man/8/pam_group Siehe auch Bug #21381
Das sollte in der UCC zugrundeliegenden Ubuntu-Version bereits durch policykit gelöst sein. Prüfen zu UCC 1.0
Standard-Benutzer können in UCC ohne manuelle Anpassungen auf Sound-Devices zugreifen.
(In reply to comment #26) > Standard-Benutzer können in UCC ohne manuelle Anpassungen auf Sound-Devices > zugreifen. Das funktioniert sowohl mit dem Thinclient als auch dem Desktop Image. Verified.
UCC 1.0 has been released: http://forum.univention.de/viewtopic.php?f=26&t=2417 http://forum.univention.de/viewtopic.php?f=54&t=2418 If this error occurs again, please use "Clone This Bug".