форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Вопрос касаемо настройки pam_ldap."
Сообщение от bromantik (??) on 15-Мрт-05, 15:09  (MSK)
Значит все вроде работает, юзеры логинятся согласно данным лдаповской базы, НО... Что делать с группами, они добавлены в Лдап, но как их юзать??? Банально хочется запретить не членам whell делать su. Как это сделать? Заранее спасибо
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Вопрос касаемо настройки pam_ldap."
Сообщение от mr_Y on 15-Мрт-05, 15:34  (MSK)
cd /bin chmod 750 su Теперь только ROOT и группа ROOT. И причем тут LDAP? Или я в вопрос не въехал?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Вопрос касаемо настройки pam_ldap."
	Сообщение от bromantik (??) on 15-Мрт-05, 15:45  (MSK)
	>cd /bin >chmod 750 su >Теперь только ROOT и группа ROOT. >И причем тут LDAP? >Или я в вопрос не въехал? ага не въехал :) su даётся выполнять только пользователям группы wheel, так вот когда все это происходит со стандартным набором файлов и модулем pam_unix, то всё ок... но с модулем pam_ldap такая фишка не работает, как-то параметр видимо описать надо... Но как и что, мне неведомо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Вопрос касаемо настройки pam_ldap."
	Сообщение от mr_Y on 15-Мрт-05, 16:11  (MSK)
	>ага не въехал :) >su даётся выполнять только пользователям группы wheel, так вот когда все это >происходит со стандартным набором файлов и модулем pam_unix, то всё ок... >но с модулем pam_ldap такая фишка не работает, как-то параметр видимо >описать надо... Но как и что, мне неведомо. Ну тагда прости засранца:) У меня аутентификация через NSS настроена. C PAM у меня почемуто не работало. Может попробуй через NSS?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Вопрос касаемо настройки pam_ldap."
	Сообщение от Skif (??) on 15-Мрт-05, 16:49  (MSK)
	>>ага не въехал :) >>su даётся выполнять только пользователям группы wheel, так вот когда все это >>происходит со стандартным набором файлов и модулем pam_unix, то всё ок... >>но с модулем pam_ldap такая фишка не работает, как-то параметр видимо >>описать надо... Но как и что, мне неведомо. > >Ну тагда прости засранца:) >У меня аутентификация через NSS настроена. >C PAM у меня почемуто не работало. Может попробуй через NSS? с последним возможна подмена локального и ldap-овского бюджетов. Здесь надо смотреть /etc/pam.d/su
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Вопрос касаемо настройки pam_ldap."
	Сообщение от bromantik (??) on 16-Мрт-05, 07:13  (MSK)
	>с последним возможна подмена локального и ldap-овского бюджетов. >Здесь надо смотреть /etc/pam.d/su Да не проблема использовать для su локального пользователя, но тогда нафик весь этот гемор с лдапом...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Вопрос касаемо настройки pam_ldap."
	Сообщение от Skif (??) on 16-Мрт-05, 10:44  (MSK)
	>>с последним возможна подмена локального и ldap-овского бюджетов. >>Здесь надо смотреть /etc/pam.d/su >Да не проблема использовать для su локального пользователя, но тогда нафик весь >этот гемор с лдапом... Вы не поняли, нужно смотреть содержимое сего конфига и поправить для работы с pam_ldap
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Вопрос касаемо настройки pam_ldap."
	Сообщение от bromantik (??) on 17-Мрт-05, 15:31  (MSK)
	>>>с последним возможна подмена локального и ldap-овского бюджетов. >>>Здесь надо смотреть /etc/pam.d/su >>Да не проблема использовать для su локального пользователя, но тогда нафик весь >>этот гемор с лдапом... > > >Вы не поняли, нужно смотреть содержимое сего конфига и поправить для работы >с pam_ldap Да я правильно вроде понял, спасибо за совет... Вопрос в другом, что туда писать. На padl.com ничего не нашел... Там есть параметр, фильтрующий группу wheel, но он для локального passwd/group, а какой параметр отдаётся pam_ldap???
		Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Вопрос касаемо настройки pam_ldap."
Сообщение от Sergey S. Belonin on 16-Мрт-05, 11:17  (MSK)
есть понятие аутенификации (храниени паролей пользователей) есть понятие учетной записи (данные о shell, home dir, id, gid, etc.) применительно к ldap куществует несколько различных клиентов, но не все они поддерживают просмотр из ldap-каталога и того, и другого - это возможные первые грабли далее. Аутенификацию обеспечивает модуль pam_ldap, который берет, например, введенный пользователем пароль и пытается аутентифицироваться на сервере LDAP и далее говорит подсистеме PAM - прокатило или нет Но для того, чтобы знать, что пользователь есть, и выбрать поля его учетной записи, нужно использовать не pam_ldap. Он предназначен только для аутентификации В Linux точно и кажется Фре доступ к хранилищам учетных записей осуществляется через стандартный механизм - NSS, в конфиге которого (/etc/nsswitch.conf) можно указать, в какой последовательности в каких хранилищах (/etc/passwd, LDAP, NSS ...) искать данные о каких (пользователи, группы, хосты и т.д.) учетных записях. Поэтому при желании создать человечий сервер каталогов на серверах нужно поднимать оба модуля - pam_ldap и nss_ldap одновременно. Пример реализации компонентов использования LDAP в вашей инфраструктуре, который, кстати, идет стандартно с Linux - по адресу http://www.padl.com/ по этой теме - все далее как пример - моя реализация - единый LDAP каталог, несколько серверов в LDAP хранятся в том числе данные о пользователях и группах - т.е. люди и созданные под требования бизнеса группы !!! СИСТЕМНЫЕ !!! пользователи и группы хранятся в системных файлах каждого сервера. И это есть правильно, т.к. системные данные могут быть разные на разных серверах/операционках/версиях операционки. Если отказывает каталог, либо просто сетевая карта на сервере или рабочей станции - доступа к каталогу нет. Вы входите админом с данными системных файлов и работаете. А в штатной ситуации админом ходить не след, для этого su есть, и пользователи (UNIX, Samba, FTP, Address Book) - используют каталог Удачи
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Вопрос касаемо настройки pam_ldap."
	Сообщение от bromantik (??) on 18-Мрт-05, 08:06  (MSK)
	Сергей, большое спасибо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.