Bonjour à tous.
Je cherche à faire du pam_ldap sur mes serveurs en prod pour mes collègues du service info.
Pam-LDAP fonctionne parfaitement sur nos serveurs ou tous les utilisateurs ont accès (passerelle ssh / ftp / mail etc.)
Mon objectif est de réduire l'accès ssh à un groupe posix uniquement.
En utilisant la directive pam-ldap qui me semble appropriée j'arrive malgré tout à me connecter avec un user qui n'appartient pas au groupe.
pam-ldap.conf et libnss-ldap.conf
Citation :
pam_check_service_attr yes
# Group to enforce membership of
pam_groupdn cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr
# Group member attribute
pam_member_attribute memberUid
|
getent passwd me retourne tout les utilisateurs.
getent group me retourne tous les groupes (y compris Equipe_SCI).
common-account
Citation :
account sufficient pam_ldap.so
account required pam_unix.so
|
common-auth
Citation :
auth sufficient pam_ldap.so
auth required pam_unix.so try_first_pass
|
Identification d'un utilisateur non autorisé:
Citation :
adrien@adrien-fixe:~$ ssh logininterdit@metrologie.mamachine.lan
logininterdit@metrologie.mamachine.lan's password: You must be a memberUid of cn=Equipe_SCI,ou=Groups,ou=people,dc=maboite,dc=fr to login.
Last login: Fri Sep 10 14:01:09 2010 from adrien-fixe.maboite.lan
logininterdit@metrologie:~$
|
Vous l'aurez compris, le message il est beau, mais au final je me log tout de même! Je peux aussi faire un su !
Si quelq'un peut m'aider à avoir uniquement les membres du groupe voulu lorsque je fait un getent passwd (ou a la limite filtrer le ssh sur le groupe voulu) je vous en serai très reconaissant.
Je pense que le problème serai résolu si je mettait
common-auth
Citation :
auth required pam_ldap.so
auth required pam_unix.so try_first_pass
|
[b]
Mais si le serveur ldap tombe en caraffe.... Et j'ai pas root dans mon annuaire!
Merci d'avance pour votre aide précieuse!
Message édité par mdvore le 13-09-2010 à 11:23:42