[LDAP] probleme ldap.conf

probleme ldap.conf [LDAP] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-06-2008 à 12:02:02    

bonjour a tous,
 
j'ai peu d'espoir qu'on me réponde mais bon je tente ma chance
 
 
j'utilise pour l'authentification user, un serveur ldap
 
j'ai modifié mon fichier /etc/ldap.conf sur un de mes serveur client du serveur ldap pour quil n'accepte pas les uid user plus petit que 2000 (connexion ssh)
 
# Specify a minium or maximum UID number allowed
pam_min_uid 2000
pam_max_uid 3000
 
j'ai redemarré le serveur mais ca ne fonctionne pas mes user uid < 2000 arrive toujours a ce coco.
 
une idée ?

Reply

Marsh Posté le 25-06-2008 à 12:02:02   

Reply

Marsh Posté le 25-06-2008 à 14:26:48    

je trouve bizarre de mettre ca dans /etc/ldap.conf, c'est le fichier de configuration pour se connecter à ldap, rien a voir avec de l'authentification.
 
Regarde plutot dans /etc/libnss-ldap.conf
Il y a
 
# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0

Reply

Marsh Posté le 25-06-2008 à 14:38:34    

je n'ai pas ce fichier je suis sous redhat 5 entreprise

Reply

Marsh Posté le 25-06-2008 à 17:28:05    

personne n'est parfait

Reply

Marsh Posté le 26-06-2008 à 09:27:44    

et sinon ? :)

Reply

Marsh Posté le 26-06-2008 à 09:58:33    

tu peux me dire si il y a des "conneries" dans mon /etc/ldap.conf
options et commentaire ?
 

Code :
  1. # IP du serveur ldap
  2. host 127.0.0.1
  3. # Le DN de base pour effectuer les recherche
  4. base dc=mh,dc=org
  5. # Optimisation de recherche dans la base
  6. scope=one
  7. # Pour que le poste demarre meme si le server ldap ne repond pas
  8. bind_policy soft
  9. # Version du protocole utilise
  10. ldap_version 3
  11. # Port ecoute serveur
  12. port 389
  13. # Filtres de validation dun utilisateur
  14. pam_filter objectclass=account
  15. pam_filter host=srvtest1.test.org
  16. # Attribut compare avec lindentifiant de connexion de lutilisateur
  17. pam_login_attribute uid
  18. # Verification attribut host
  19. pam_check_host_attr yes
  20. # DN groupe auquel il faut appartenir pour acces machine locale
  21. pam_groupdn cn=srvtest1,ou=machines,dc=mh,dc=org
  22. # Definit lattribut dappartenance au groupe
  23. pam_member_attribute memberUid
  24. # password envoi serveur
  25. pam_password crypt
  26. # Parametres nss-ldap de recherche
  27. nss_base_passwd         ou=user,dc=mh,dc=org?one
  28. nss_base_shadow         ou=user,dc=mh,dc=org?one
  29. nss_base_group          ou=group,dc=mh,dc=org?one
  30. nss_base_hosts          ou=machines,dc=mh,dc=org?one
  31. # Cest deux parametres qui saccompagnent dun entier, denfissent les valeurs minimale et maximale des uid-Number qui sont autorise a ce connecter
  32. pam_min_uid 2000
  33. pam_max_uid 3000
  34. # Securise la connexion
  35. #ssl start_tls
  36. #tls_cacertfile /etc/ssl/openldap/ldap.pem
  37. #tls_checkpeer yes


Message édité par gangan2 le 26-06-2008 à 10:00:47
Reply

Marsh Posté le 26-06-2008 à 11:49:31    

ce fichier correspond a mon /etc/libnss-ldap.conf  sur debian
 
sinon tu peux mettre des regles d'authentification avec pam.d, regarde dans le dossier /etc/security/ (enfin sur debian c'est comme ca)

Reply

Marsh Posté le 26-06-2008 à 12:27:35    

j'ai fais ca aussi dans /etc/pam.d/sshd
 
#%PAM-1.0
auth sufficient pam_ldap.so
auth required pam_env.so
auth required pam_nologin.so
auth required pam_unix.so shadow nullok use_first_pass
 
account sufficient pam_ldap.so
account required pam_unix.so
 
session required pam_unix.so
session optional pam_console.so
session required pam_mkhomedir.so skel=/etc/skel/
 
password required pam_cracklib.so
password required pam_unix.so nullok use_authtok shadow

Reply

Marsh Posté le 28-06-2008 à 13:57:17    

essaie ça dans pam.d/sshd
 
auth requisite pam_succeed_if.so uid >= 2000 quiet


---------------
"Your god is too small", Giordano Bruno, 1548 - 1600
Reply

Marsh Posté le 30-06-2008 à 09:13:11    

je crois qu'il y a un ordre pour les "lignes" dans /etc/pam.d/sshd
il faut que je l'a mette ou par rapport au 4 autres auth ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed