Forum Linux.général ldap + ssh

Posté par  .
Étiquettes : aucune
0
26
juin
2008
Bonjour à tous,

Alors voila je suis entrain de mettre en place un serveur ldap pour l'authentification ssh sur plusieurs serveurs.

J'aimerai arriver a un système de droit de connexion par compte :

exemple :

joe acces au server 1 et server 3

ginette acces au server 2 et server 4

titi acces au server 2 et serveru 3

etc...

J'utilise redhat 5 entreprise.

mon soucis c'est que j'ai un peu de mal a configurer le fichier /etc/ldap.conf qui d'apres ce que j'ai compris est le fichier principal client pour tout ce qui est filtre d'authentification, droits.

qqu pour me donner un ptit coup de main ?
  • # Alors ... LDAP.

    Posté par  . Évalué à 2.

    Je suis exactement dans le même cas de figure que toi depuis une semaine, et je peux te dire que si tu n'as jamais touché à LDAP, la fortune suivante résume assez bien la situation : http://sam.linuxfr.org/352

    mon soucis c'est que j'ai un peu de mal a configurer le fichier /etc/ldap.conf qui d'apres ce que j'ai compris est le fichier principal client pour tout ce qui est filtre d'authentification, droits.

    Pas tout-à-fait. Ce fichier-là, c'est celui qui va indiquer aux bibliothèques clientes, qui tournent sur ta machine, comment se comporter, quel et où que soit le serveur. Tu peux notamment y indiquer l'adresse du serveur par défaut pour éviter d'avoir à se le repalucher à la main, etc.

    Côté serveur, ça dépend du produit que tu utilises. Si c'est sous Linux, ce sera probablement openldap. Du coup, c'est dans /etc/openldap/slapd.conf, qu 'il faut regarder. Ensuite, quand tes comptes seront proprement insérés dans ton arbre, il faudra voir du côté de PAM pour demander à ton authentificateur de consulter le serveur. Selon la distrib, que tu utilises, il est possible que tout cela soit déjà configuré pour toi. Sur Fedora 9, par exemple, GNOME offre un paneau de contrôle qui regroupe NIS, LDAP, Hesiod, Winbind, Kerberos, les Smart Cards et le SMB dans une même boîte. Ça fait gagner du temps.

    Pour tes multiples serveurs, tu peux éventuellement créer une branche par serveur, mais le plus simple reste encore d'étendre la classe posixAccount et de définir un attribut contenant un nom de serveur. Tu peux en spécifier ensuite autant que tu en veux par compte. Après, tu n'as plus qu'à faire un filtre sur chaque serveur.
    • [^] # Re: Alors ... LDAP.

      Posté par  . Évalué à 1.

      deja merci pour ta reponse

      quand tu dis "tu n'as plus qu'à faire un filtre sur chaque serveur"

      comment je fais ca ? et ou ?

      j'ai deja un annuaire complet pour test avec mes 3 serveurs et mes 3 comptes

      tu pense que mon ldap.conf est trop fourni ? des choses inutile ?

      j'ai seulement modifié /etc/pam.d/sshd sur chaques serveurs

      comme ceci :

      #%PAM-1.0
      auth sufficient pam_ldap.so
      auth required pam_env.so
      auth required pam_nologin.so
      auth required pam_unix.so shadow nullok use_first_pass

      account sufficient pam_ldap.so
      account required pam_unix.so

      session required pam_unix.so
      session optional pam_console.so
      session required pam_mkhomedir.so skel=/etc/skel/

      password required pam_cracklib.so
      password required pam_unix.so nullok use_authtok shadow

      tu en pense quoi ? :)
  • # Re: ldap + ssh

    Posté par  . Évalué à 2.

    Autre solution :
    - créer des groupes du type SSHServer1, SSHServer2, SSHServer3, SSHServer4.
    - sur chaque serveur, dans '/etc/ssh/sshd_config', ajouter la ligne 'AllowGroups SSHServerX' (avec X en fonction du serveur correspondant).
    - intégrer les utilisateurs dans les groupes voulus.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.