Forum Linux.redhat Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux

Posté par . Licence CC by-sa
0
4
mar.
2016

Bonjour,

Je souhaiterais qu'un groupe de mon AD windows puisse se connecter en SSH sur mon serveur Centos7.

J'ai ajouté mon serveur au domaine sans problème.

Pour le moment Tout les Utilisateurs membre de mon domaine peuvent se connecter.

login : name@mon.domaine.com
Password: même password que windows

Pour cela j'ai juste modifier ces deux fichiers "/etc/hosts" et "/etc/resolv.conf" on y ajoutant mes deux dns.

Je me suis très fortement inspiré de ce site pour configuré les fichiers. Link

Quel est ou quelles sont les fichiers à modifier pour que seule les membres de mon groupe AD puisse se connecter en SSH ?

Merci à vous pour l'aide possible.

  • # allowgroup / sshd

    Posté par (page perso) . Évalué à 1.

  • # pam_ldap

    Posté par . Évalué à 4.

    configurer PAM pour se connecter à ton LDAP (avec pam_ldap) puis dire à SSHD de n'autoriser que les utilisateurs locaux ET ceux du groupe XYZ

  • # Autoriser un Groupe Windows à se connecter en SSH sur mon Serveur Linux -2

    Posté par . Évalué à 1. Dernière modification le 14/03/16 à 19:44.

    Re bonjour,

    Merci aux deux personnes qui ont donner de leurs temps pour m'apporter une réponse mais cela n'a pas été bénéfique.

    voici la doc sur lequel je m'appuie en ce moment:
    https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

    Je vais réitérer ma demande.
    Pour le moment tout les membres de mon domain ont accès en lecture seule sur mon serveur.

    Voici le resultat de la commande. REEALM LIST

    [root@hostname:0 ~]# realm list 
    mon.domain.com
    type: kerberos
    realm-name: mon.domain.com
    domain-name: mon.domain.com
    configured: kerberos-member
    server-software: active-directory
    client-software: winbind
    required-package: oddjob-mkhomedir
    required-package: oddjob
    required-package: samba-winbind-clients
    required-package: samba-winbind
    required-package: samba-common
    login-formats: mondomain+%U
    login-policy: allow-any-login

    voici la conf de mon fichier /etc/sssd/sssd.conf

    [sssd]
    config_file_version = 2
    domains = mon.domain.com
    services = nss, pam, pac, ssh
    
    [domain/mon.domain.com]
    id_provider = mon.domain.com
    auth_provider = mon.domain.com
    chpass_provider = mon.domain.com
    access_provider = mon.domain.com
    
    cache_credentials = true
    
    [nss]
    override_homedir = /home/%d/%u
    
    [active-directory]
    default-client = sssd

    voici la conf de mon fichier /etc/pam.d/system/auth

    auth required pam_env.so
    auth [default=1 success=ok] pam_localuser.so
    auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass
    auth requisite pam_succeed_if.so uid >= 1000 quiet_success
    auth sufficient pam_sss.so forward_pass
    auth sufficient pam_krb5.so use_first_pass
    auth sufficient pam_winbind.so cached_login use_first_pass
    auth required pam_deny.so
    
    account required pam_unix.so broken_shadow
    account sufficient pam_localuser.so
    account sufficient pam_succeed_if.so uid < 1000 quiet
    account [default=bad success=ok user_unknown=ignore] pam_sss.so
    account [default=bad success=ok user_unknown=ignore] pam_krb5.so
    account [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login
    account required pam_permit.so
    
    password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
    password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
    password sufficient pam_sss.so use_authtok
    password sufficient pam_krb5.so use_authtok
    password sufficient pam_winbind.so use_authtok
    password required pam_deny.so
    
    session optional pam_keyinit.so revoke
    session required pam_limits.so
    -session optional pam_systemd.so
    session optional pam_oddjob_mkhomedir.so umask=0077
    session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
    session required pam_unix.so
    session optional pam_sss.so
    session optional pam_krb5.so
    session optional pam_winbind.so cached_login

    Merci à vous pour l'aide possible.

    Répondre

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.