Forum Linux.redhat Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux

Posté par sonylinux le 04 mars 2016 à 14:14. Licence CC By‑SA.

Étiquettes :

mar.

2016

Bonjour,

Je souhaiterais qu'un groupe de mon AD windows puisse se connecter en SSH sur mon serveur Centos7.

J'ai ajouté mon serveur au domaine sans problème.

Pour le moment Tout les Utilisateurs membre de mon domaine peuvent se connecter.

login : name@mon.domaine.com
Password: même password que windows

Pour cela j'ai juste modifier ces deux fichiers "/etc/hosts" et "/etc/resolv.conf" on y ajoutant mes deux dns.

Je me suis très fortement inspiré de ce site pour configuré les fichiers. Link

Quel est ou quelles sont les fichiers à modifier pour que seule les membres de mon groupe AD puisse se connecter en SSH ?

Merci à vous pour l'aide possible.

# allowgroup / sshd

Posté par nono14 (site web personnel) le 04 mars 2016 à 14:21. Évalué à 1.

http://serverfault.com/questions/617081/how-to-use-both-allowgroups-and-allowusers-in-sshd-config

Système - Réseau - Sécurité Open Source
# pam_ldap

Posté par NeoX le 04 mars 2016 à 14:48. Évalué à 4.

configurer PAM pour se connecter à ton LDAP (avec pam_ldap) puis dire à SSHD de n'autoriser que les utilisateurs locaux ET ceux du groupe XYZ

# Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux -2

Posté par sonylinux le 14 mars 2016 à 15:48. Évalué à 1. Dernière modification le 14 mars 2016 à 19:44.

Re bonjour,

Merci aux deux personnes qui ont donner de leurs temps pour m'apporter une réponse mais cela n'a pas été bénéfique.

voici la doc sur lequel je m'appuie en ce moment:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

Je vais réitérer ma demande.
Pour le moment tout les membres de mon domain ont accès en lecture seule sur mon serveur.

Voici le resultat de la commande. REEALM LIST

[root@hostname:0 ~]# realm list 
mon.domain.com
type: kerberos
realm-name: mon.domain.com
domain-name: mon.domain.com
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: oddjob-mkhomedir
required-package: oddjob
required-package: samba-winbind-clients
required-package: samba-winbind
required-package: samba-common
login-formats: mondomain+%U
login-policy: allow-any-login

voici la conf de mon fichier /etc/sssd/sssd.conf

[sssd]
config_file_version = 2
domains = mon.domain.com
services = nss, pam, pac, ssh

[domain/mon.domain.com]
id_provider = mon.domain.com
auth_provider = mon.domain.com
chpass_provider = mon.domain.com
access_provider = mon.domain.com

cache_credentials = true

[nss]
override_homedir = /home/%d/%u

[active-directory]
default-client = sssd

voici la conf de mon fichier /etc/pam.d/system/auth

auth required pam_env.so
auth [default=1 success=ok] pam_localuser.so
auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so forward_pass
auth sufficient pam_krb5.so use_first_pass
auth sufficient pam_winbind.so cached_login use_first_pass
auth required pam_deny.so

account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login
account required pam_permit.so

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password sufficient pam_krb5.so use_authtok
password sufficient pam_winbind.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_oddjob_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session optional pam_krb5.so
session optional pam_winbind.so cached_login

Merci à vous pour l'aide possible.

Répondre

[^] # Re: Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux -2

Posté par NeoX le 14 mars 2016 à 19:49. Évalué à 3.

peut-etre un bout de piste ici
http://linux.die.net/man/8/pam_group

un exemple ici qui utilise PAM et fait un filtre pour obtenir un groupe (et en plus avec une centos)
https://www.linux.iastate.edu/content/using-pam-kerberos-authentication-and-group-access-control

tout ca dans les premieres pages d'un resultat de recherche
http://lmgtfy.com/?q=linux+pam+kerberos+group+membership

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# allowgroup / sshd

# pam_ldap

# Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux -2

[^] # Re: Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux -2