Forum Linux.général SSSD et Active Directory

Posté par  . Licence CC By‑SA.
0
12
juil.
2018

Bonjour,

Auparavant j'utilisais winbind et kerberos pour intégrer mes serveurs à l'AD et permettre la connexion à ces serveurs en SSH pour certains utilisateurs.
Je veux maintenant passer à SSSD : AD pour l'intégration et le contrôle d'accès.
La première contrainte est que je souhaite que les utilisateurs gardent comme UID sous Linux, l'uidNumber qui est paramétré au niveau des Attributs UNIX de l'AD. Pour ce faire je positionne le paramètre suivant dans le fichier /etc/sssd/sssd.conf :
ldap_id_mapping = False
Jusque-là tout fonctionne correctement.

Avec le paramètre suivant j'autorise uniquement les membres du groupe AD "ADMINS" à se loguer :
ad_access_filter = (memberOf=CN=ADMINS,OU=Services,DC=AD,DC=EXAMPLE,DC=COM)

De même, tout fonctionne correctement sauf que deux contraintes s'imposent à moi. Pour pouvoir se connecter en SSH, l'utilisateur doit appartenir au groupe ADMINS mais également avoir ses Attributs UNIX paramétrés dans l'AD.
Mon souhait serait de ne pas avoir à paramétrer ces Attributs UNIX pour que l'utilisateur soit autorisé à se loguer mais uniquement de l'ajouter au groupe autorisé.

Merci d'avance.

  • # ma question sera simplement "comment" ?

    Posté par  . Évalué à 2.

    Mon souhait serait de ne pas avoir à paramétrer ces Attributs UNIX pour que l'utilisateur soit autorisé à se loguer mais uniquement de l'ajouter au groupe autorisé.

    Comment crois-tu que le linux va faire s'il n'a pas d'attribut uid/gid pour l'utilisateur ?
    au moment de creer son dossier, au moment de l'autoriser ou non à lancer une commande ?
    etc

    • [^] # Re: ma question sera simplement "comment" ?

      Posté par  . Évalué à 1.

      Hello,

      Le système ne pourrait-il pas affecter un UID aléatoire (comme ce qui est fait quand on créer un utilisateur en local) aux utilisateurs qui n'ont pas d'attributs uid/gid paramétrés dans l'AD ?

      Merci.

      • [^] # Re: ma question sera simplement "comment" ?

        Posté par  . Évalué à 3.

        il n'est pas aleatoire mais incremental, basé sur le fichier /etc/password
        1000
        1001
        1002

        mais si c'est le cas alors quid de la 'securité',
        ton utilisateur toto se connecte à la machine A, il obtient l'id 1000
        titi se connecte à la machine B, il obtient l'id 1000
        ils echangent des fichiers via un serveur qui gere les ID (via NFS par exemple) entre les linux

        les fichiers toto appartiennent à titi et inversement => gros probleme de secu.

        par contre tu dois pouvoir dire à ton AD de gerer les uid/guid, et de les calculer automatiquement,
        ainsi ce sont les memes, peu importe le serveur sur lequel se connecte l'utilisateur toto, il aura toujours son id

        • [^] # Re: ma question sera simplement "comment" ?

          Posté par  . Évalué à 1. Dernière modification le 12 juillet 2018 à 14:21.

          Je vois ce que tu veux dire.
          Le problème qui se pose pour moi et qu'historiquement les comptes ont pour uid/gid celui de l'attribut UNIX de l'AD.
          La raison principale était celle que tu dis, pour que chaque user ait le même uid/gid sur n'importe quel serveur (partage NFS).

          En changeant le fonctionnement via le paramètre :
          ldap_id_mapping = True

          N'importe quel utilisateur pourra se loguer et aura son propre uid/gid sur tous les serveurs mais n'aura plus accès aux fichiers/dossiers/partages en place actuels. Il faudrait modifier les homedir, les droits sur les fichiers pour affecter les nouveaux uid/gid… C'est une problématique supplémentaire.

          Du coup je pense que pour l'instant je vais rester avec la configuration qui s'appuie sur les attributs UNIX de l'AD et qu'un utilisateur devra appartenir au groupe "ADMINS" ET avoir ses attributs UNIX paramétrés.

          Merci à toi

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.