partage ldap/samba et root local
partage ldap/samba et root local - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-08-2006 à 11:44:13
re .
En fait pour les poste linux , l'acces root local fout tout en l'air ne serait ce que du fait qu'il a acces au fichiet "ldap.secret" contenant le mot de passe ldap pour libnss et libpam....si vous avez des solutions je suis preneur...
j'aimerais savoir aussi si au niveau des client windows il y a l'équivalent:
Quand on rejoint un domaine, le root/mdp est demandé, mais est il stocké? et ou?
Marsh Posté le 03-08-2006 à 12:08:46
y a pas besoin du mot de passe de l'admin ldap pour libnss et libpam, ca se fait en anonyme.
pour ton premier truc je ne comprends pas ou est le probleme...
Au pire vire root de LDAP et créé un autre compte qui appartient au groupe ADMIN (windows).
Ton mot de passe root est le meme partout ? sur ton ldap et sur tous les clients ?
J'ai fai une doc complete sur ce forum
Marsh Posté le 07-08-2006 à 18:06:39
y a t'il un moyen d'empecher le root local de lire les partions samba monté (sous linux) par un utilisateur ldap?
Aussi, en faisant un "su ldap-user" en root local je n'ai pas besoin de mot de passe...(mais les partage ne se montent pas) ca fait quand meme pas propre.
Marsh Posté le 07-08-2006 à 18:24:42
1) Non, une fois monté, la partition samba appartient à ton systeme, et root a tous les droits.
Par contre en utilisant FUSE tu peux surement ( cherche sur le forum on en parle)
2)
faut modifier tes fichiers de conf de pam.d/
et par defaut, depuis root, que tu te connectes avec n'importe quel autre utilisateur on te demande pas ton mot de passe
En plus ca servirait a rien car avec root tu peux faire sauter n'importe quel mot de passe d'un compte local
Marsh Posté le 08-08-2006 à 09:38:40
Je peux donc me connecter avec le root local sur n'importe quel compte ldap.
C'est bien ce que je craignais.
Merci pour Fuse, je vais voir ce que ca donne.
Sujets relatifs:
- Only root can login?!?!?
- exportation AD ---> Serveur Linux avec LDAP
- [Ubuntu] Création d'un dépot local pour installation
- probleme droit sous samba
- Tunnel SSH +SAMBA
- Passage en root avec LiveCD Suse
- iptables redirection en local
- Apache2: authentification LDAP
- Déconnexion aléatoire WinXP >samba
Marsh Posté le 02-08-2006 à 11:25:53
Bonjour,
je travail sur un systeme de centralisation de compte et de partage (ldap/samba) sur debian et mon problème est que je veux rendre inaccessible les répertoires de groupe des utilisateurs ldap au root local de la machine sur lequels le repertoire est monté.
typiquement, je ne veux pas qu'un stagiaire ayant un acces root sur sa machine puisse lire (et écrire) les données dans un répertoire monté appartenant au groupe des cdi
je sais qu'avec nfs ca ne marche pas mais est ce possible de mettre en place cettre restriction avec les partage samba?
sur les postes clients windows le probleme n'a pas l'air de se poser mais si vous avez des infos je suis preneur aussi.
merci de votre aide, même si vous n'avez pas de solution complete, je prend toutes les pistes, ca me fera apprendre d'autre truc au pire ^^