Je suis actuellement dans une entreprise d'une vingtaine de personne et nous souhaitons créer un annuaire LDAP pour gérer l'authentification de nos employés sur les divers services que nous utilisons (SSH, FTP, Trac, ERP...).
Voici ce à quoi j'avais pensé :
dc=com
|
dc=societe
|
-----------------------------------------------------------
| | | |
ou=groups ou=clients ou=employees ou=admin
Je pensais donc regrouper nos employés dans employees... Seulement, je suis perdu dès que je veux créer des groupes. Par exemple, il n'y a que certains employés qui peuvent accéder au serveur ssh1. Je voulais donc créer un groupe serveur ssh1 et insérer les employés dedans... Mais je suis perdu car certain de ces employés peuvent aussi accéder au serveur ssh2 !!
De plus, je voudrais que quand mes employés se connectent, ils n'aient pas de /home/employees de créé... C'est possible ?
Merci de me sortir de ce brouillard :)
# pourquoi pas
Posté par NeoX . Évalué à 2.
un utilisateur (UID) peut ensuite appartenir à plusieurs groupes
au moment de gerer l'identification (probablement avec pam_ldap) il suffit de dire que du prend les logins dans
dc=com,dc=societe,ou=employees
cela va creer le /home/utilisateur1
au moment ou celui-ci va se connecter (pour la premiere fois)
[^] # Re: pourquoi pas
Posté par Arkezis (site web personnel) . Évalué à 1.
En fait, j'aimerais juste que je puisse vérifier qui se connecte, mais qu'il n'aient pas de /home et qu'après, ils puissent se connecter en root si besoin est !
Mais du coup, je me dis que ca va être compliqué ....
Par contre, il serait possible d'avoir un compte "invité" sur chaque serveur et que quand un employé se connecte, il soit sur ce compte ... ?
[^] # Re: pourquoi pas
Posté par NeoX . Évalué à 2.
tu peux preciser le /home/xyz de ton utilisateur
par contre je ne sais pas si tu peux avoir le meme /home pour differents utilisateurs (il pourrait y avoir des problemes de droits)
# Limiter l'accès à certains serveurs
Posté par Dabowl_92 . Évalué à 1.
La première, c'est les netgroup, un héritage de NIS qui a la particularité de fonctionner avec tous les unices (aix solaris etc..).
Hop, une petite URL qui va bien :
http://directory.fedoraproject.org/wiki/Howto:Netgroups
Il y a à ma connaissance une autre façon de procéder, mais cette fois c'est spécifique à PAM, j'ai la flemme de chercher mais je suis sûr que tu trouvera :-)
# allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Mais j'étais plus embêté quand à l'implémentation de ces groupes dans ldap...
Une piste peut être ? ;-)
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par NeoX . Évalué à 3.
et dedans tu mets tes groupes
ssh1
ssh2
serveurA
serveurB
...
un utilisateur qui doit acceder uniquement à ssh1 sera dans le groupe ssh1
un utilisateur qui peut acceder aux deux serveurs sera dans les 2 groupes
et ainsi de suite
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Mais comment cela se modélisera t'il pour attacher un utilisateur à un groupe ? (je sais pas si je me fais bien comprendre >_< )
[^] # Re: allowGroup/sshd
Posté par NeoX . Évalué à 2.
quand tu crees un utilisateur, il a un groupe "primaire" (par exemple DRH/COMPTA...)
puis tu lui ajoutes des groupes "secondaires" (ssh1,serveurA...)
un utilisateur peut donc etre dans plusieurs groupes
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Il faut que j'ajoute des attributs ?
(pour info, j'utilise phpldapadmin)
[^] # Re: allowGroup/sshd
Posté par NeoX . Évalué à 2.
les champs shell, home...
sinon perso j'utilisais LUMA (client local pour serveur ldap) comme logiciel pour gerer mon ldap mais il faut alors pouvoir se connecter au serveur depuis ta machine locale
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Par contre, avec phpldapadmin ca marche pas trop mal... Le seul problème, c'est qu'avec un posixGroup, je peux spécifier un UID... Est ce indispensable dans mon cas, si je n'en spécifie pas, j'ai peur que ça créé un peu le bazar non ?
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Si défini, les attributs obligatoires sont vérifiés lors de l'ajout de nouveaux objects dans
l'annuaire, ce qui *evite* les bétises et garantit l'intégrité de celui-ci.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Je mélangeais avec le GID ! Est il indispensable ? Si oui, je pense que je peux tout le temps mettre 50 non ? Vu que c'est le groupe d'users par défaut ?
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par NeoX . Évalué à 2.
attention toutefois, car ce GID peut se retrouver sur tes serveurs comme etant lié a un autre utilisateur/groupe
je me souviens que j'avais du mettre un min UID et min GID dans mon ldap
afin de ne pas risquer de confusion
genre minUID=10000, minGID=10000
car sur les machines suivant la distrib,
les users commencent à 100 ou 1000
les groups non system aussi.
donc pour bien faire la difference entre un utilisateur local et un du LDAP, je mettais des ID > 10000
[^] # Re: allowGroup/sshd
Posté par Arkezis (site web personnel) . Évalué à 1.
Donc je peux mettre tout mes users ldap dans un seul GID, c'est aussi bien ?
Par contre, pour les UID, je sais pas comment en avoir un différent à chaque fois .. J'ai pas envie de devoir aller chercher le dernier UID rentré pour savoir lequel je dois mettre ...
Un UID est forcément un int ?
(voir le lien : http://www.nabble.com/LDAP-membership-represented-by-memberU(...) )
[^] # Re: allowGroup/sshd
Posté par NeoX . Évalué à 2.
uniqueMember: uid=janeth,ou=People,dc=example,dc=com
uniqueMember: uid=michael,ou=People,dc=example,dc=com
uniqueMember: uid=john,ou=People,dc=example,dc=com
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: allowGroup/sshd
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.