[Résolu][PAM-LDAP] Restreindre accès à un posixGroup.

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [Résolu][PAM-LDAP] Restreindre accès à un posixGroup.

mdvore

Glandeur né

Bonjour à tous.

Je cherche à faire du pam_ldap sur mes serveurs en prod pour mes collègues du service info.

Pam-LDAP fonctionne parfaitement sur nos serveurs ou tous les utilisateurs ont accès (passerelle ssh / ftp / mail etc.)

Mon objectif est de réduire l'accès ssh à un groupe posix uniquement.
En utilisant la directive pam-ldap qui me semble appropriée j'arrive malgré tout à me connecter avec un user qui n'appartient pas au groupe.

pam-ldap.conf et libnss-ldap.conf

Citation :

pam_check_service_attr yes

# Group to enforce membership of
pam_groupdn cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr

# Group member attribute
pam_member_attribute memberUid

getent passwd me retourne tout les utilisateurs.

getent group me retourne tous les groupes (y compris Equipe_SCI).

common-account

Citation :

account sufficient pam_ldap.so
account required pam_unix.so

common-auth

Citation :

auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass

Identification d'un utilisateur non autorisé:

Citation :

adrien@adrien-fixe:~$ ssh logininterdit@metrologie.mamachine.lan
logininterdit@metrologie.mamachine.lan's password:
You must be a memberUid of cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr to login.

Last login: Fri Sep 10 14:01:09 2010 from adrien-fixe.maboite.lan
logininterdit@metrologie:~$

Vous l'aurez compris, le message il est beau, mais au final je me log tout de même! Je peux aussi faire un su !

Si quelq'un peut m'aider à avoir uniquement les membres du groupe voulu lorsque je fait un getent passwd (ou a la limite filtrer le ssh sur le groupe voulu) je vous en serai très reconaissant.

Je pense que le problème serai résolu si je mettait
common-auth

Citation :

auth required pam_ldap.so
auth required pam_unix.so try_first_pass

[b]

Mais si le serveur ldap tombe en caraffe.... Et j'ai pas root dans mon annuaire!

Merci d'avance pour votre aide précieuse!

Message édité par mdvore le 13-09-2010 à 11:23:42

Publicité

mdvore

Glandeur né

up!

e_esprit

Le truc c'est que la tu filtres rien, tu définies juste que le groupe par défaut des utilisateurs doit être le groupe LDAP que tu donnes (enfin il me semble, j'ai pas relu le man).

Il faut que tu utilises un filtre sur tes utilisateurs :

Citation :

nss_base_passwd ou=people,dc=maboite,dc=fr?one?&(!(attr1=VAL))(attr_groupe=Equipe_SCI)

Bien sûr, dans ton cas, ca veut dire que chaque entrée LDAP doit avoir un attribut qui liste les groupes auxquels elle appartient.

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.

mdvore

Glandeur né

Merci pour ton aide e_esprit

Je vois ce que tu veux dire.
Mon soucis avec les PosixGroup c'est que je n'ai pas l'attribut qui dit dans quels groupes un utilisateur appartient.

exemple du groupe:

Citation :

dn: cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr
objectClass: posixGroup
objectClass: top
gidNumber: 110
memberUid: mdvore

Citation :

dn: uid=mdvore,ou=people,dc=maboite,dc=fr
cn: Mdvore Dupont
displayName: Mdvore Dupont
facsimileTelephoneNumber: x
givenName: Dupont
homeDirectory: /home/mdupont
l: x
mail: mdvore@hfr.fr
objectClass: person
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: radiusprofile
objectClass: top
objectClass: sambaSamAccount
objectClass: shadowAccount
postalAddress: x
postalCode: x
radiusTunnelMediumType: IEEE-802
radiusTunnelPrivateGroupId: 1000
radiusTunnelType: VLAN
sambaSID: -1010
sambaAcctFlags: [U ]
sambaLMPassword: Something
sambaNTPassword: Something
shadowExpire: 0
telephoneNumber: x
uid: mdvore
sn: mdvore
loginShell: /bin/bash
uidNumber: 2095 # Aucun lien avec les groupes posixGroup
gidNumber: 15 # Groupe système par défaut, aucun lien non plus avec posixGroup (bien que je vais le changer, 15 c'est nul!)
userPassword:: e1NTS...

A la limite si je dois rajouter un champ pourquoi pas, mais cela doit être assez automatisé, je vais pas ajouter les groupes à chaque user un par un! (sauf si indispensable).

Message édité par mdvore le 13-09-2010 à 10:04:19

mdvore

Glandeur né

Bon j'ai trouvé !!!

Mon pam_ldap.conf:

Citation :

# Group to enforce membership of
pam_groupdn cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr

# Group member attribute
pam_member_attribute memberUid

Mon nsswitch.conf

Citation :

passwd: compat ldap
group: compat ldap
shadow: compat ~~ldap~~

C'est tout!

Message édité par mdvore le 13-09-2010 à 11:23:23

FORUM HardWare.fr

Linux et OS Alternatifs

Logiciels

[Résolu][PAM-LDAP] Restreindre accès à un posixGroup.

Sujets relatifs
[Résolu] [DEBIAN] Support LDAP	[apache2] faire expirer une session authentifiée par LDAP
[iptables] joindre un point d'accès derrière une Debian.	Log des accés NFS
pb accés port paralléle sous vmware workstation	pb ldap glpi (résolu)
Accès a distance a une machine ubuntu	Postfix, dovecot et LDAP : impossible d'envoyer des mails vers gmail
OVH: apache s'enerve quand trop d'acces disque, un problème hardware ?	[PAM-LDAP] Controle des hosts par netgroups
Plus de sujets relatifs à : [Résolu][PAM-LDAP] Restreindre accès à un posixGroup.

Page générée en 0.042 secondes