Bonjour à tous,
 
Je cherche actuellement à mettre en place une authentification centralisée par LDAP avec une restriction de connexion pour certains users sur certaines machines.
 
Je réalise que pour faire cela, soit :
- Je dois déclarer chacun des netgroups de users dans le fichier /etc/passwd (ou access.conf) sur chacun des serveurs
- Je dois spécifier sur chaque fiche user la liste des hôtes qu'il peut joindre
 
Or aucune de ces 2 solution ne me satisfait :
- La première car les populations changent tout le temps et les nouveaux serveurs arrivent sans arrêt, j'aimerai que coté client la conf soit fixe (minimale)
- La deuxième car déclarer plus de 1000 serveurs sur une fiche user me parait laborieux, dur à maintenir et surtout j'ai peur que cela surcharge considérablement les requêtes LDAP.
 
Ce que j'aimerai c'est plutôt que de spécifier des hosts sur la fiche LDAP du user, spécifier directement des netgroups.
Je vois souvent des admins sys sur les forums qui ont ce besoin, mais il semble que ça ne soit pas possible...
Quelqu'un à t'il une idée ?
 
La seule solution que j'identifie à ce jour est de modifier pam_ldap pour prendre en compte mon besoin, mais je ne sais pas si c'est techniquement possible, et de toute façon ca rendrai obsolète ma solution sur l'ensemble des serveurs déjà en place.
 
Je vois parfois des solutions de contournement genre http://forums.novell.com/novell-pr [...] -ldap.html mais elles obligent quand même a déclarer les items par liste dans l'annuaire, et non pas par groupe.
 
Si quelqu'un à déjà eu le souci et s'en est sorti, ou a des pistes, je prend !
 
Merci

Bon la meilleure solution que j'ai trouvé si quelqu'un bute un jour sur ce problème :
 
Déclarer des netgroups de user et de hosts dans l'annuaire
Faire un fichier security.conf contenant les directives
 
+ : @users@@serveurs : ALL
+ : @users2@@serveurs : 10.
- : ALL : ALL
 
Ce qui veux dire que les membres du netgroup "users" pourront se connecter sur les serveurs du netgroup de hosts "serveurs"
 
Les users2 pourront se connecter sur les serveurs du netgroup "serveurs" mais uniquement depuis des stations en 10.X
 
Les autres ne pourront rien faire.
 
C'est mieux documenté ici : http://directory.fedoraproject.org [...] :Netgroups
 
On a quand même un fichier à pousser sur tous les serveurs, mais ce fichier n'est pas enclin à évoluer souvent.
 
Si une bonne âme pouvait intégrer dans pam_ldap la gestion des contrôle d'accès (pam_check_host_attr) par netgroup ça serait quand même l'idéal