LDAP - Restreindre les connexions à un sous-groupe d'utilisateurs!

Posté par WildChild le 02 mars 2007 à 23:05.

Étiquettes : aucune

mar.

2007

Bonjour,
j'ai réussi à mettre en place une connexion à un serveur Linux via les comptes disponibles sur un serveur LDAP. Le problème est que ce serveur contient tous les comptes de tous les étudiants du département. J'aimerais restreindre les connexions à ce serveur en particulier à un sous-groupe des utilisateurs présents sur le serveur LDAP. Pourquoi garder le serveur LDAP? Parce que c'est le même nom d'utilisateur et mot de passe que les étudiants utilisent partout sur les services de l'université. Quelqu'un a une idée sur comment faire?

Deuxième question mais moins importante, pour les utilisateurs qui sont locaux au serveur, est-ce possible de faire en sorte que le mot de passe ne soit pas demandé deux fois? Il est demandé pour vérifier sur le serveur LDAP mais comme les comptes locaux n'existent pas sur LDAP, il demande à nouveau le mot de passe pour vérifier en local. J'aimerais éviter cette double vérification.

Merci

# dans l'ordre...

Posté par NeoX le 02 mars 2007 à 23:15. Évalué à 1.

pour le 1°)
faire un allow uniquement sur ton groupe LDAP dans les options d'authentification

pour le 2°)
en permutant l'ordre des methodes d'authentification cela devrait te permettre ca
mais du coup il est probable que les comptes LDAP soient demandés 2x
1X pour se connecter en local (et echec)
1x pour se connecter à LDAP
- [^] # Re: dans l'ordre...
  
  Posté par WildChild le 02 mars 2007 à 23:20. Évalué à 1.
  
  Pour la 2e question j'ai trouvé: Ajouter "use_first_pass" à la ligne qui vérifie le mot de passe en local.
  
  Pour la première, est-ce que tu pourrais donner plus d'info? Ce que j'aimerais c'est définir un groupe local (je ne peux rien modifier sur le serveur LDAP) et faire en sorte que seuls les membres de ce groupe, qui existent sur le serveur LDAP puissent se connecter sur mon serveur.
  - [^] # Re: dans l'ordre...
    
    Posté par NeoX le 03 mars 2007 à 10:40. Évalué à 1.
    
    je n'ai pas la manip exacte mais il me semble que quand on ajoute une machine linux à un annuaire (NIS, LDAP) on doit pouvoir cibler les DC/CN/... et de la tomber sur le groupe qui t'interesse.
    
    et cela semble etre le cas dans cette exemple :
    http://julp.developpez.com/freebsd/authentification-ldap/
    
    à toi d'adapter à ta conf.
# Solution trouvée... Quelqu'un peut confirmer?

Posté par WildChild le 03 mars 2007 à 16:58. Évalué à 1.

J'ai trouvé une solution à mon problème, utiliser le module pam_access.so

Dans /etc/security/access.conf j'ajoute la ligne suivante:
-:ALL EXCEPT root logindaemon loginstaff lsfm:ALL

Dans ce cas je veux que root soit capable de se connecter, tous les membres du groupe loginstaff (PermitRootLogin désactivé sur sshd pour plus de sécurité), tous les membres du groupe logindaemon auquel j'ajoute tous les comptes des services (ils vont démarrer quand même compte tenu qu'ils sont habituellement exécuté en root et par la suite rabaissé à des privilèges moindres mais ce groupe est là pour que ce soit plus propre) et finalement tous les membres du groupe lsfm auquel j'ajoute les comptes du serveur LDAP pour lesquels je veux l'accès.

Quelqu'un aurais une meilleure solution? Sinon, comme ça ça fonctionne bien!

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# dans l'ordre...

[^] # Re: dans l'ordre...

[^] # Re: dans l'ordre...

# Solution trouvée... Quelqu'un peut confirmer?