Значит все вроде работает, юзеры логинятся согласно данным лдаповской базы, НО... Что делать с группами, они добавлены в Лдап, но как их юзать???
Банально хочется запретить не членам whell делать su. Как это сделать?
Заранее спасибо
cd /bin
chmod 750 su
Теперь только ROOT и группа ROOT.
И причем тут LDAP?
Или я в вопрос не въехал?
>cd /bin
>chmod 750 su
>Теперь только ROOT и группа ROOT.
>И причем тут LDAP?
>Или я в вопрос не въехал?ага не въехал :)
su даётся выполнять только пользователям группы wheel, так вот когда все это происходит со стандартным набором файлов и модулем pam_unix, то всё ок... но с модулем pam_ldap такая фишка не работает, как-то параметр видимо описать надо... Но как и что, мне неведомо.
>ага не въехал :)
>su даётся выполнять только пользователям группы wheel, так вот когда все это
>происходит со стандартным набором файлов и модулем pam_unix, то всё ок...
>но с модулем pam_ldap такая фишка не работает, как-то параметр видимо
>описать надо... Но как и что, мне неведомо.Ну тагда прости засранца:)
У меня аутентификация через NSS настроена.
C PAM у меня почемуто не работало. Может попробуй через NSS?
>>ага не въехал :)
>>su даётся выполнять только пользователям группы wheel, так вот когда все это
>>происходит со стандартным набором файлов и модулем pam_unix, то всё ок...
>>но с модулем pam_ldap такая фишка не работает, как-то параметр видимо
>>описать надо... Но как и что, мне неведомо.
>
>Ну тагда прости засранца:)
>У меня аутентификация через NSS настроена.
>C PAM у меня почемуто не работало. Может попробуй через NSS?с последним возможна подмена локального и ldap-овского бюджетов.
Здесь надо смотреть /etc/pam.d/su
>с последним возможна подмена локального и ldap-овского бюджетов.
>Здесь надо смотреть /etc/pam.d/su
Да не проблема использовать для su локального пользователя, но тогда нафик весь этот гемор с лдапом...
>>с последним возможна подмена локального и ldap-овского бюджетов.
>>Здесь надо смотреть /etc/pam.d/su
>Да не проблема использовать для su локального пользователя, но тогда нафик весь
>этот гемор с лдапом...
Вы не поняли, нужно смотреть содержимое сего конфига и поправить для работы с pam_ldap
>>>с последним возможна подмена локального и ldap-овского бюджетов.
>>>Здесь надо смотреть /etc/pam.d/su
>>Да не проблема использовать для su локального пользователя, но тогда нафик весь
>>этот гемор с лдапом...
>
>
>Вы не поняли, нужно смотреть содержимое сего конфига и поправить для работы
>с pam_ldap
Да я правильно вроде понял, спасибо за совет... Вопрос в другом, что туда писать. На padl.com ничего не нашел... Там есть параметр, фильтрующий группу wheel, но он для локального passwd/group, а какой параметр отдаётся pam_ldap???
есть понятие аутенификации (храниени паролей пользователей)
есть понятие учетной записи (данные о shell, home dir, id, gid, etc.)применительно к ldap куществует несколько различных клиентов, но не все они поддерживают просмотр из ldap-каталога и того, и другого - это возможные первые грабли
далее.
Аутенификацию обеспечивает модуль pam_ldap, который берет, например, введенный пользователем пароль и пытается аутентифицироваться на сервере LDAP и далее говорит подсистеме PAM - прокатило или нет
Но для того, чтобы знать, что пользователь есть, и выбрать поля его учетной записи, нужно использовать не pam_ldap. Он предназначен только для аутентификации
В Linux точно и кажется Фре доступ к хранилищам учетных записей осуществляется через стандартный механизм - NSS, в конфиге которого (/etc/nsswitch.conf) можно указать, в какой последовательности в каких хранилищах (/etc/passwd, LDAP, NSS ...) искать данные о каких (пользователи, группы, хосты и т.д.) учетных записях.
Поэтому при желании создать человечий сервер каталогов на серверах нужно поднимать оба модуля - pam_ldap и nss_ldap одновременно. Пример реализации компонентов использования LDAP в вашей инфраструктуре, который, кстати, идет стандартно с Linux - по адресу http://www.padl.com/
по этой теме - все
далее
как пример - моя реализация - единый LDAP каталог, несколько серверов
в LDAP хранятся в том числе данные о пользователях и группах - т.е. люди и созданные под требования бизнеса группы!!! СИСТЕМНЫЕ !!! пользователи и группы хранятся в системных файлах каждого сервера. И это есть правильно, т.к. системные данные могут быть разные на разных серверах/операционках/версиях операционки.
Если отказывает каталог, либо просто сетевая карта на сервере или рабочей станции - доступа к каталогу нет. Вы входите админом с данными системных файлов и работаете. А в штатной ситуации админом ходить не след, для этого su есть, и пользователи (UNIX, Samba, FTP, Address Book) - используют каталог
Удачи
Сергей, большое спасибо