Forum Linux.général authentification LDAP sous Linux

Posté par Adrien le 10 décembre 2012 à 16:28.

Étiquettes : aucune

déc.

2012

Je veux mettre en place une solution d'authentification et je bloque sur l'authentification des machines. Les utilisateurs ont un PC attitré, et peuvent parfois se connecter à d'autres PC (machine de collègue, d'équipe, etc.). Je suis donc parti sur un LDAP+NSS tout basique, avec ldap-account-manager comme interface du LDAP.

Seulement je n'arrive pas à voir comment associer facilement l'utilisateur aux machines auxquelles il a accès. Par défaut, l'utilisateur peut se connecter sur toute les machines, ce qui ne me convient pas du tout.

Dois-je dans ce cas obligatoirement passer par un contrôleur de domaine Samba, ou existe-t-il une autre solution pour des machines Linux ?

# branche de l'annuaire LDAP

Posté par Marc Quinton le 10 décembre 2012 à 20:07. Évalué à 3. Dernière modification le 10 décembre 2012 à 20:08.

si tu as une possibilité de controle sur l'annuaire LDAP, tu peux créer une branche dédiée pour les utilisateurs à qui tu souhaites donner l'accès. Cela peut aussi est la création d'un groupe dédié dans l'annuaire ou encore l'ajout d'un attribut LDAP supplémentaire dans chaque fiche LDAP des utilisateurs.

C'est la théorie LDAP, en pratique, je ne connais pas dans le détail le module LDAP. Mais c'est aussi comme cela que ca fonctionne sur notre annuaire pour des applications tièrses qui s'appuie sur l'annuaire.
# Nieu

Posté par M.Poil (site web personnel) le 11 décembre 2012 à 07:23. Évalué à 4. Dernière modification le 11 décembre 2012 à 07:28.
Tu peux partir sur un schéma dans le genre
```
dc=domain,dc=org
ou=peoples
  uid=user1
  uid=user2
ou=groups
  cn=groupe1
     memberuid=user1
  cn=groupe2
     memberuid=user1
     memberuid=user2
```
Puis sur tes serveurs tu configures le ldap.conf pour filtrer via "pam_filter" sur la catégorie de population qui a le droit d'accès (via les groupes)

Certaines personnes mettent également un rôle directement en attribut des user et filtre dessus, ce serai plus facile pour filtrer sur sudo & co (à vérifier)

Is it a Bird? Is it a Plane?? No, it's Super Poil !!!
- [^] # Re: Nieu
  
  Posté par Adrien le 11 décembre 2012 à 15:43. Évalué à 2.
  
  merci pour ces réponses. Je vais regarder plus en détail les attributs qui vont bien alors.
  - [^] # Re: Nieu
    
    Posté par Adrien le 11 décembre 2012 à 16:13. Évalué à 4.
    
    Bon j'avais vraiment mal cherché, ma réponse se trouve ici :
    http://linuxfr.org/forums/linuxgénéral/posts/resolu-limiter-connexion-a-une-station-pour-un-utilisateur
    
    article qui point vers l'attribut sambaUserWorkstations
    http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html
    - [^] # Re: Nieu
      
      Posté par NeoX le 11 décembre 2012 à 22:14. Évalué à 2. Dernière modification le 11 décembre 2012 à 22:14.
      
      existe-t-il une autre solution pour des machines Linux
      
      article qui point vers l'attribut sambaUserWorkstations
      http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html
      
      c'est dommage d'en arriver à utiliser samba pour gerer l'identification sous linux
      
      je penses que les groups dans l'annuaire ldap pourraient convenir
# attribut host

Posté par eric gerbier (site web personnel) le 12 décembre 2012 à 09:09. Évalué à 3.

Tu peux utiliser le champ host du schéma standard cosine.schema pour donner la liste des machines auxquelles le compte peut se connecter.

Il suffit ensuite de modifier le fichier /etc/pam_ldap.conf pour y mettre :
pam_check_host_attr yes

source : http://wiki.debian.org/LDAP/PAM

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.