Bonjour,
j'ai réussi à mettre en place une connexion à un serveur Linux via les comptes disponibles sur un serveur LDAP. Le problème est que ce serveur contient tous les comptes de tous les étudiants du département. J'aimerais restreindre les connexions à ce serveur en particulier à un sous-groupe des utilisateurs présents sur le serveur LDAP. Pourquoi garder le serveur LDAP? Parce que c'est le même nom d'utilisateur et mot de passe que les étudiants utilisent partout sur les services de l'université. Quelqu'un a une idée sur comment faire?
Deuxième question mais moins importante, pour les utilisateurs qui sont locaux au serveur, est-ce possible de faire en sorte que le mot de passe ne soit pas demandé deux fois? Il est demandé pour vérifier sur le serveur LDAP mais comme les comptes locaux n'existent pas sur LDAP, il demande à nouveau le mot de passe pour vérifier en local. J'aimerais éviter cette double vérification.
Merci
# dans l'ordre...
Posté par NeoX . Évalué à 1.
faire un allow uniquement sur ton groupe LDAP dans les options d'authentification
pour le 2°)
en permutant l'ordre des methodes d'authentification cela devrait te permettre ca
mais du coup il est probable que les comptes LDAP soient demandés 2x
1X pour se connecter en local (et echec)
1x pour se connecter à LDAP
[^] # Re: dans l'ordre...
Posté par WildChild . Évalué à 1.
Pour la première, est-ce que tu pourrais donner plus d'info? Ce que j'aimerais c'est définir un groupe local (je ne peux rien modifier sur le serveur LDAP) et faire en sorte que seuls les membres de ce groupe, qui existent sur le serveur LDAP puissent se connecter sur mon serveur.
[^] # Re: dans l'ordre...
Posté par NeoX . Évalué à 1.
et cela semble etre le cas dans cette exemple :
http://julp.developpez.com/freebsd/authentification-ldap/
à toi d'adapter à ta conf.
# Solution trouvée... Quelqu'un peut confirmer?
Posté par WildChild . Évalué à 1.
Dans /etc/security/access.conf j'ajoute la ligne suivante:
-:ALL EXCEPT root logindaemon loginstaff lsfm:ALL
Dans ce cas je veux que root soit capable de se connecter, tous les membres du groupe loginstaff (PermitRootLogin désactivé sur sshd pour plus de sécurité), tous les membres du groupe logindaemon auquel j'ajoute tous les comptes des services (ils vont démarrer quand même compte tenu qu'ils sont habituellement exécuté en root et par la suite rabaissé à des privilèges moindres mais ce groupe est là pour que ce soit plus propre) et finalement tous les membres du groupe lsfm auquel j'ajoute les comptes du serveur LDAP pour lesquels je veux l'accès.
Quelqu'un aurais une meilleure solution? Sinon, comme ça ça fonctionne bien!
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.