Forum Linux.général authentification LDAP sous Linux

Posté par .
Tags : aucun
3
10
déc.
2012

Je veux mettre en place une solution d'authentification et je bloque sur l'authentification des machines. Les utilisateurs ont un PC attitré, et peuvent parfois se connecter à d'autres PC (machine de collègue, d'équipe, etc.). Je suis donc parti sur un LDAP+NSS tout basique, avec ldap-account-manager comme interface du LDAP.

Seulement je n'arrive pas à voir comment associer facilement l'utilisateur aux machines auxquelles il a accès. Par défaut, l'utilisateur peut se connecter sur toute les machines, ce qui ne me convient pas du tout.

Dois-je dans ce cas obligatoirement passer par un contrôleur de domaine Samba, ou existe-t-il une autre solution pour des machines Linux ?

  • # branche de l'annuaire LDAP

    Posté par . Évalué à 3. Dernière modification le 10/12/12 à 20:08.

    si tu as une possibilité de controle sur l'annuaire LDAP, tu peux créer une branche dédiée pour les utilisateurs à qui tu souhaites donner l'accès. Cela peut aussi est la création d'un groupe dédié dans l'annuaire ou encore l'ajout d'un attribut LDAP supplémentaire dans chaque fiche LDAP des utilisateurs.

    C'est la théorie LDAP, en pratique, je ne connais pas dans le détail le module LDAP. Mais c'est aussi comme cela que ca fonctionne sur notre annuaire pour des applications tièrses qui s'appuie sur l'annuaire.

  • # Nieu

    Posté par (page perso) . Évalué à 4. Dernière modification le 11/12/12 à 07:28.

    Tu peux partir sur un schéma dans le genre

    dc=domain,dc=org
    ou=peoples
      uid=user1
      uid=user2
    ou=groups
      cn=groupe1
         memberuid=user1
      cn=groupe2
         memberuid=user1
         memberuid=user2
    
    

    Puis sur tes serveurs tu configures le ldap.conf pour filtrer via "pam_filter" sur la catégorie de population qui a le droit d'accès (via les groupes)

    Certaines personnes mettent également un rôle directement en attribut des user et filtre dessus, ce serai plus facile pour filtrer sur sudo & co (à vérifier)

    Is it a Bird? Is it a Plane?? No, it's Super Poil !!!

  • # attribut host

    Posté par (page perso) . Évalué à 3.

    Tu peux utiliser le champ host du schéma standard cosine.schema pour donner la liste des machines auxquelles le compte peut se connecter.

    Il suffit ensuite de modifier le fichier /etc/pam_ldap.conf pour y mettre :
    pam_check_host_attr yes

    source : http://wiki.debian.org/LDAP/PAM

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.