форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Samba, вопросы интеграции Unix и Windows (Аутентификация)
Изначальное сообщение		[ Отслеживать ]

"Ограничение доступа доменным пользователям на Linux-машине"	+/–
Сообщение от evors (ok) on 19-Апр-11, 16:00
Приветствую. Не удается настроить ограничение прав для доменных юзеров в Ubuntu 10.04, машина успешно введена в домен (настроено через Samba+Winbind+Kerberos). Команды wbinfo -u wbinfo -g выдают правильный результат, могу залогиниться любим доменным или локальным пользователем на Ubuntu. Надо ограничить таких пользователей. Неудачно пробовал реализовать это через PAM. Мб есть альтернативные способы ограничения? Конфиги: /etc/security/group.conf gdm;*;linuh;Al0000-2400;floppy        # linuh - доменный аккаунт nano /etc/pam.d/gdm auth    requisite       pam_group.so                 auth    requisite       pam_nologin.so auth    required        pam_env.so readenv=1 auth    required        pam_env.so readenv=1 envfile=/etc/default/locale auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin @include common-auth auth    optional        pam_gnome_keyring.so @include common-account session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close session required        pam_limits.so @include common-session session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open session optional        pam_gnome_keyring.so auto_start @include common-password в /etc/pam.d/common-session добавил только одну строку session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077 остальные конфиги pam не правил.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
Сообщение от Zl0 (ok) on 19-Апр-11, 16:16
>[оверквотинг удален] > close > session required        pam_limits.so > @include common-session > session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so > open > session optional        pam_gnome_keyring.so auto_start > @include common-password > в /etc/pam.d/common-session добавил только одну строку > session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077 > остальные конфиги pam не правил. man sshd_config   AllowGroups AllowUsers
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
	Сообщение от evors (ok) on 19-Апр-11, 16:59
	> man sshd_config > AllowGroups > AllowUsers Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем случае)?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
	Сообщение от Zl0 (ok) on 19-Апр-11, 17:09
	>> man sshd_config >> AllowGroups >> AllowUsers > Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем > случае)? Это уже в паме  смотрите, ответ ниже.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
Сообщение от Евгений (??) on 19-Апр-11, 16:27
system-auth account     required      pam_unix.so account     required      pam_access.so account     sufficient    pam_localuser.so account     sufficient    pam_succeed_if.so uid < 500 quiet account     sufficient    pam_winbind.so account     required      pam_permit.so cat /etc/security/access.conf - : ALL except jack root : ALL man pam_access
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
	Сообщение от evors (ok) on 19-Апр-11, 18:07
	>[оверквотинг удален] > account     required      pam_unix.so > account     required      pam_access.so > account     sufficient    pam_localuser.so > account     sufficient    pam_succeed_if.so uid < > 500 quiet > account     sufficient    pam_winbind.so > account     required      pam_permit.so > cat /etc/security/access.conf > - : ALL except jack root : ALL > man pam_access Это действительно помогло, огромное спасибо.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Ограничение доступа доменным пользователям на Linux-машине"	+/–
	Сообщение от evors (ok) on 20-Апр-11, 12:47
	>[оверквотинг удален] >> account     required      pam_access.so >> account     sufficient    pam_localuser.so >> account     sufficient    pam_succeed_if.so uid < >> 500 quiet >> account     sufficient    pam_winbind.so >> account     required      pam_permit.so >> cat /etc/security/access.conf >> - : ALL except jack root : ALL >> man pam_access > Это действительно помогло, огромное спасибо. С пользователями работает отлично, с группами не хочет. Записываю так: - : ALL except (domain_group) local_user root : ALL
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема