Forum Linux.debian/ubuntu Samba & AD & gestion des utilisateurs

Posté par  .
Étiquettes : aucune
0
23
mar.
2010
Bonjour à tous,

Je vous explique la situation :

Dans un réseau d'entreprise, j'ai un serveur Active Directory (Windows 2003), des machines Windows et surtout des machines Linux.
Je souhaite que certains utilisateurs de mon AD se connectent sur mes machines Linux. J'ai donc installé les paquets krb5-user, winbind et samba et configuré le tout, notamment :

Dans mon /etc/samba/smb.conf : template shell = /bin/bash
Dans mon /etc/security/access.conf : +:mon_grp_AD_linux:ALL et -:ALL:ALL

Un utilisateur de l'AD toto qui appartient au groupe mon_grp_AD_linux se connecte bien à la machine Linux. Un utilisateur titi qui n'appartient pas au groupe mon_grp_AD_linux se fait jeter.

Cependant, j'aimerais que certains utilisateurs de mon AD puissent se connecter en SSH à ma machine Linux, mais avec un shell différent de /bin/bash. En fait la finalité est qu'ils n'accèdent pas à machine Linux en shell, mais qu'ils puissent juste faire une redirection de ports via SSH.

Est-il possible de faire ça ?

Merci d'avance.

  • # /etc/adduser.conf ?

    Posté par  . Évalué à 1.

    Je ne suis pas sûr de mon coup et je dis peut-être une connerie (mais vous pouvez quand même me moinser !).

    As-tu essayé de modifier la variable DSHELL dans le fichier /etc/adduser.conf ?

    Je dis ça car je suppose que lorsque l'utilisateur AD s'authentifie, PAM doit créer un utilisateur local temporaire (ou un truc comme ça) et doit de fait utiliser les valeurs par défaut du fichier adduser.conf.

    • [^] # Re: /etc/adduser.conf ?

      Posté par  . Évalué à 1.

      Je ne suis pas bien sûr d'avoir compris ta solution ...

      En gros mon but c'est 1 user de l'AD toto et 1 user de l'AD titi. Si c'est toto mon shell c'est /bin/bash et si c'est titi mon shell c'est autre chose.

      En modifiant la variable DSHELL, ça va concerner tous mes users, non ? Donc quelle différence avec le template shell de mon smb.conf ?

      • [^] # Re: /etc/adduser.conf ?

        Posté par  . Évalué à 1.

        je savais bien que je disais une connerie !
        DSHELL modifie le shell de tous les nouveaux utilisateurs. Et si j'ai bien compris toi tu veux un shell différent suivant le groupe AD d'appartenance de l'utilisateur.

        je ne connaissais pas le template shell de smb.conf et j'avais encore une fois lu en diagonale !

        Par contre ne pourrais-tu pas lutiliser template shell à ton avantage (attention autre solution pourrie en préparation) en créant des liens symboliques portant le nom du groupe AD vers les shells désirés et en définissant un shell dans type template shell = /my-shell/%G

        Autre solution presque identique en montant un lecteur réseau dépendant du groupe (via pam_mount ) qui contient un lien symbolique vers le shell défini pour ton groupe.

        • [^] # Re: /etc/adduser.conf ?

          Posté par  . Évalué à 1.

          Ah oui je vais étudier cette solution du myshell%G. Je n'y avais pas pensé. J'étais plutôt parti sur une solution du genre /bin/monshell.sh pour tout le monde et dans le sh faire des if avec mes conditions et des exec du shell que je veux. Mais je cherchais une solution un peu moins crade en fait ;)

          Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.