Forum Linux.général Samba / Winbind / AD - restreindre l'accès

Posté par (page perso) .
Tags : aucun
0
23
déc.
2009
Aloah

J'ai setupé une machine Linux pour authentifier ses users sur un domaine Active Directory, grâce à Samba / Winbind.

Tout marche bien, sauf que je souhaiterais n'autoriser la connexion aux machines qu'en fonction de l'appartenance à des groupes spécifiques:
- genre, les membres du groupe 'prod' peuvent aller sur les machines de 'prod', mais pas les membres du groupe 'dev'.

Or, même avec mon ami gogole, pas trouvé de solution.... déjà regardé du côté de 'access.conf', mais semble pas bon.

Quelqu'un aurait une piste ou un début de piste ??

Danke
  • # Un dico anglais -> français pour commencer ?

    Posté par . Évalué à 2.

    Oui, je sais, je suis désagréable...
    • [^] # Re: Un dico anglais -> français pour commencer ?

      Posté par . Évalué à 0.

      À part "users", il n'a écrit aucun anglicisme. "prod" c'est "production", "dev" c'est "développement", et s'il renomme "access.conf" en "acces.conf" ça marchera moins bien.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: Un dico anglais -> français pour commencer ?

        Posté par . Évalué à 3.

        enfin un dico multilingue -> francais

        pour :
        aloah (tahitien ? ) => bonjour
        setupé (anglais) => mis en place
        google (anglais) => jumelles ? (bon ok là ca marche pas)
        danke (allemand) => merci
      • [^] # Re: Un dico anglais -> français pour commencer ?

        Posté par . Évalué à 3.

        Grunt :

        je suppute qu'alpentux faisait allusion à :

        J'ai setupé une machine Linux pour authentifier ses users


        georgeswwbush :

        Ca n'est pas très clair,

        J'ai setupé une machine Linux
        puis
        les membres du groupe 'prod' peuvent aller sur les machines de 'prod'

        Ça concerne une ou plusieurs machines ?
        C'est pous se loguer ou accéder à un partage ?
        Le client est bien sous GNU/Linux ?

        Si c'est pour empêcher de se loguer sur un GNU/Linux, il suffit de rajouter un /false comme shell aux utilisateurs qui ne doivent pas y accéder.
        Si c'est pour empêcher l'accès à un partage, c'est dans les access group de smb.conf
        • [^] # Re: Un dico anglais -> français pour commencer ?

          Posté par . Évalué à 3.

          C'est parce qu'il fait de l'Active Directory. Grosso merdo, si je ne me trompe pas, IAMAWE, il s'agit de centraliser la gestion des droits sur une seule machine, qui informe les autres de ce qu'il est autorisé d'y faire ou pas.

          Au centre t'as le serveur maître, et c'est lui qui dit "Toi t'es une machine de prod, tu autorises les gens du groupe prod à venir, mais que eux."

          THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

          • [^] # Re: Un dico anglais -> français pour commencer ?

            Posté par (page perso) . Évalué à 2.

            C'est exactement cela. A l'heure actuelle, n'importe quel utilisateur peut de l'AD peut se connecter sur n'importe quel serveur, créer son répertoire maison, etc...

            (vous avez vu, que du français dans le texte)
            • [^] # Re: Un dico anglais -> français pour commencer ?

              Posté par . Évalué à 2.

              avec un LDAP il suffit de faire des sous-groupes

              il suffirait alors de lier la machine au sous-groupes
              pour qu'elle ne voit que cette partie là de tes utilisateurs

              (en gros ne pas mettre tous les utilisateurs au meme niveau)
  • # Trouvé ??

    Posté par (page perso) . Évalué à 1.

    Je me répond à moi-même...

    Il existe l'option "require_membership_of" dans le "/etc/security/pam_windbind.conf", qui semble obliger l'appartenance à un groupe spécifique...

    C'est un peu laborieux: un seul groupe ou utilisateur peut être précisé, mais je vais trouver une magouille.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.