URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89279
[ Назад ]

Исходное сообщение
"Ограничение доступа по группам"
Отправлено Eugen , 02-Июл-10 12:46

Доброе время суток,
Необходимо решить такую задачу:
- Есть ldap, через который пользователи авторизуются на серверах (ldap хранит ключи для ssh)
- Пользователи ходят по ssh на серверы, возможно, вводя пароль или используя приватный ключ
- У пользователей в ldap есть класс posixAccount, то есть хранится их номер группы (gid)
Нужно - чтобы некоторая группа пользователей не имела доступ к серверам. Например, установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него отключался.
Пробовал использовать:
cat /etc/security/access.conf | grep -v '#'
- : nogroup : ALL
но, увы, действия это не возымело. Заранее благодарен за любую помощь.

Содержание

Ограничение доступа по группам,ALex_hha, 13:20 , 02-Июл-10
- Ограничение доступа по группам,Zl0, 13:29 , 02-Июл-10
  - Ограничение доступа по группам,Eugen, 13:38 , 02-Июл-10
    - Ограничение доступа по группам,Zl0, 13:53 , 02-Июл-10
      - Ограничение доступа по группам,Eugen, 13:57 , 02-Июл-10

Сообщения в этом обсуждении

"Ограничение доступа по группам"
Отправлено ALex_hha , 02-Июл-10 13:20

>[оверквотинг удален]
>номер группы (gid)
>Нужно - чтобы некоторая группа пользователей не имела доступ к серверам. Например,
>установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него
>отключался.
>Пробовал использовать:
>
>cat /etc/security/access.conf | grep -v '#'
>- : nogroup : ALL
>
>но, увы, действия это не возымело. Заранее благодарен за любую помощь.
может проще задать у такой группы shell в /bin/false?

"Ограничение доступа по группам"
Отправлено Zl0 , 02-Июл-10 13:29

>[оверквотинг удален]
>>установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него
>>отключался.
>>Пробовал использовать:
>>
>>cat /etc/security/access.conf | grep -v '#'
>>- : nogroup : ALL
>>
>>но, увы, действия это не возымело. Заранее благодарен за любую помощь.
>
>может проще задать у такой группы shell в /bin/false?
А может лучше использовать AllowGroup и DenyGroup в sshd_config?

"Ограничение доступа по группам"
Отправлено Eugen , 02-Июл-10 13:38

>[оверквотинг удален]
>>>Пробовал использовать:
>>>
>>>cat /etc/security/access.conf | grep -v '#'
>>>- : nogroup : ALL
>>>
>>>но, увы, действия это не возымело. Заранее благодарен за любую помощь.
>>
>>может проще задать у такой группы shell в /bin/false?
>
>А может лучше использовать AllowGroup и DenyGroup в sshd_config?
Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет нужно ограничивать и для других сервисов (по мере их появления) - существует ли некоторые универсальные способы?

"Ограничение доступа по группам"
Отправлено Zl0 , 02-Июл-10 13:53

>Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет
>нужно ограничивать и для других сервисов (по мере их появления) -
>существует ли некоторые универсальные способы?
Проблемы нужно решать по мере их поступления, пока вы сами не знаете какие сервисы у вас будут, то как вы собираетесь к ним ограничивать доступ?

"Ограничение доступа по группам"
Отправлено Eugen , 02-Июл-10 13:57

>>Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет
>>нужно ограничивать и для других сервисов (по мере их появления) -
>>существует ли некоторые универсальные способы?
>
>Проблемы нужно решать по мере их поступления, пока вы сами не знаете
>какие сервисы у вас будут, то как вы собираетесь к ним
>ограничивать доступ?
с этим сложно не согласиться. Хорошо, пока что пусть будет только ограничение ssh (достаточно и этого). Я спросил, так как полагал, что есть способ ограничить сразу весь доступ (по любым протоколам, для любых сервисов и т.п.) - благодарю за помощь!