[Résolu][PAM-LDAP] Restreindre accès à un posixGroup.
Restreindre accès à un posixGroup. [Résolu][PAM-LDAP] - Logiciels - Linux et OS Alternatifs
Marsh Posté le 13-09-2010 à 09:42:52
Le truc c'est que la tu filtres rien, tu définies juste que le groupe par défaut des utilisateurs doit être le groupe LDAP que tu donnes (enfin il me semble, j'ai pas relu le man).
Il faut que tu utilises un filtre sur tes utilisateurs :
| Citation : |
Bien sûr, dans ton cas, ca veut dire que chaque entrée LDAP doit avoir un attribut qui liste les groupes auxquels elle appartient.
---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Marsh Posté le 13-09-2010 à 10:02:07
Merci pour ton aide e_esprit
Je vois ce que tu veux dire.
Mon soucis avec les PosixGroup c'est que je n'ai pas l'attribut qui dit dans quels groupes un utilisateur appartient.
exemple du groupe:
| Citation : |
| Citation : |
A la limite si je dois rajouter un champ pourquoi pas, mais cela doit être assez automatisé, je vais pas ajouter les groupes à chaque user un par un! (sauf si indispensable).
Message édité par mdvore le 13-09-2010 à 10:04:19
Marsh Posté le 13-09-2010 à 11:22:38
Bon j'ai trouvé !!!
Mon pam_ldap.conf:
| Citation : |
Mon nsswitch.conf
| Citation : |
C'est tout!
Message édité par mdvore le 13-09-2010 à 11:23:23
Sujets relatifs:
- [Résolu] [DEBIAN] Support LDAP
- [apache2] faire expirer une session authentifiée par LDAP
- [iptables] joindre un point d'accès derrière une Debian.
- Log des accés NFS
- pb accés port paralléle sous vmware workstation
- pb ldap glpi (résolu)
- Accès a distance a une machine ubuntu
- Postfix, dovecot et LDAP : impossible d'envoyer des mails vers gmail
- OVH: apache s'enerve quand trop d'acces disque, un problème hardware ?
- [PAM-LDAP] Controle des hosts par netgroups
Marsh Posté le 10-09-2010 à 14:56:16
Bonjour à tous.
Je cherche à faire du pam_ldap sur mes serveurs en prod pour mes collègues du service info.
Pam-LDAP fonctionne parfaitement sur nos serveurs ou tous les utilisateurs ont accès (passerelle ssh / ftp / mail etc.)
Mon objectif est de réduire l'accès ssh à un groupe posix uniquement.
En utilisant la directive pam-ldap qui me semble appropriée j'arrive malgré tout à me connecter avec un user qui n'appartient pas au groupe.
pam-ldap.conf et libnss-ldap.conf
pam_check_service_attr yes
# Group to enforce membership of
pam_groupdn cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr
# Group member attribute
pam_member_attribute memberUid
getent passwd me retourne tout les utilisateurs.
getent group me retourne tous les groupes (y compris Equipe_SCI).
common-account
account sufficient pam_ldap.so
account required pam_unix.so
common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass
Identification d'un utilisateur non autorisé:
adrien@adrien-fixe:~$ ssh logininterdit@metrologie.mamachine.lan
logininterdit@metrologie.mamachine.lan's password:
You must be a memberUid of cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr to login.
Last login: Fri Sep 10 14:01:09 2010 from adrien-fixe.maboite.lan
logininterdit@metrologie:~$
Vous l'aurez compris, le message il est beau, mais au final je me log tout de même! Je peux aussi faire un su !
Si quelq'un peut m'aider à avoir uniquement les membres du groupe voulu lorsque je fait un getent passwd (ou a la limite filtrer le ssh sur le groupe voulu) je vous en serai très reconaissant.
Je pense que le problème serai résolu si je mettait
common-auth
auth required pam_ldap.so
auth required pam_unix.so try_first_pass
[b]
Mais si le serveur ldap tombe en caraffe.... Et j'ai pas root dans mon annuaire!
Merci d'avance pour votre aide précieuse!
Message édité par mdvore le 13-09-2010 à 11:23:42