Hallo Mac Tester
Wenn Du den Benutzer der GID 80 hinzufügst, wird auf jeden Fall Fehlermeldungen bekommen. Zudem kannst der Benutzer sich so nicht auf ein HomeDirectory auf dem Server einlogen. Die Lösung für Dein Problem ist viel einfacher.
Apple indentifiziert die Zugehörigkeit und der Status des Benutzers nicht nur über die GID sondern auch über die UID. Nimm als für Deinen LDAP Benutzer eine UID unter 501 und schon hast Du lokal Administratoren Rechte. Allerdings nur auf Stufe FileSystem.
Für die Kontrolle der Systemsteuerung musst der Benutzer in der lokalen NetInfo Datenbank die entsprechenden Rechte besitzten. Hier kann Dir ab 10.3 geholfen werden. Der "MobileUser-Account" macht genau das. Er synchronisiert zwar keine Verzeichnisse, sonder synchronisiert Deine LDAP-Keys mit der lokalen NetInfo Datenbank.
By the way:
Eine weitere Möglichkeit wissen wir ja seit heute (
http://www.carrel.org/dhcp-vuln.html). Aktivier in den Verzeichnisdiensten LDAP und setzte irgend einen LDAP Server in das Netzt und melde Dich als root (UID 0) an, und Du hast die volle Kontrolle. Tja.. warum kompliziert wenn es einfach geht. Wilkommen in der Welt der ganz argen Sicherheitslöcher. Ganz kras finde ich, dass Apple das schon vor dem Release von 10.3 gewusst hat und bis heute kein Update geliefert hat.
Gruss
SuPerNova
-------------------------------------
computing in the name of the root.
