настроил по статьям сервер лдап, в нем проходит аутентификация пользователей, все вроде нормально
есть задача разграничить доступ, то есть на определенные серваки должны заходить определенные пользователи,
а некоторые пользователи могли иметь доступ ко всем серверам
хотел сделать на основании групп, но столкнулся с проблемой
pam_filter в ldap.conf реагирует только на основную группу (gidNumber)
как в нем указать, остальные группы в которых состоит пользователей ?
или какими еще способом можно ограничить доступ ?
ldap атрибуты
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
squid
- лейтенант
- Сообщения: 683
- Зарегистрирован: 2007-05-25 11:32:23
- Откуда: Украина, Киев
- Контактная информация:
ldap атрибуты
хех..
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
fr33man
- сержант
- Сообщения: 218
- Зарегистрирован: 2006-09-04 17:41:27
- Откуда: Москва
- Контактная информация:
Re: ldap атрибуты
Сейчас точно не вспомню... Но по-моему есть такой аттрибут, как ldaphosts... что-то типа того. Суть его действия такова:
Аутентификация через pam проходит следующим образом. Когда вы вводите логин и пароль, pam_ldap пытается подконнектиться с этими данными к ldap серверу. Если у него это получается, то уже после этого он начинает доставать переменные типа homeDirectory и тд. Если ldap сервер отвергнул подключение, то pam_ldap возвращает Access Denied.
Аттрибут ldaphosts(точно не помню, но по-моему так называется) разрешает конкретному пользователю заходить только с определенных машин.
То есть. Если я укажу пользователю fr33man в аттрибуте ldaphosts ип=192.168.0.2, то я смогу подконнектиться к ldap серверу(с именем fr33man и своим паролем) только с ипа 192.168.0.2. Следовательно, так как pam_ldap сможет подконнектиться к ldap серверу с моими данными только с ипа 192.168.0.2, то только на этом компе я смогу войти в систему. На остальных же компах мне будет писаться Access Denied. )))
Вроде все описал... Если найду название этого аттрибута, то отпишусь....
Аутентификация через pam проходит следующим образом. Когда вы вводите логин и пароль, pam_ldap пытается подконнектиться с этими данными к ldap серверу. Если у него это получается, то уже после этого он начинает доставать переменные типа homeDirectory и тд. Если ldap сервер отвергнул подключение, то pam_ldap возвращает Access Denied.
Аттрибут ldaphosts(точно не помню, но по-моему так называется) разрешает конкретному пользователю заходить только с определенных машин.
То есть. Если я укажу пользователю fr33man в аттрибуте ldaphosts ип=192.168.0.2, то я смогу подконнектиться к ldap серверу(с именем fr33man и своим паролем) только с ипа 192.168.0.2. Следовательно, так как pam_ldap сможет подконнектиться к ldap серверу с моими данными только с ипа 192.168.0.2, то только на этом компе я смогу войти в систему. На остальных же компах мне будет писаться Access Denied. )))
Вроде все описал... Если найду название этого аттрибута, то отпишусь....
WBR Озеров Василий aka fr33man
-
f0s
- ст. лейтенант
- Сообщения: 1082
- Зарегистрирован: 2007-03-13 18:43:31
- Откуда: Санкт-Петербург
- Контактная информация:
Re: ldap атрибуты
я использую это:
Код: Выделить всё
sambaUserWorkstationsnamed, named, what is my TTL value?..
[FidoNet 2:550/2 && 2:5030/4441]
[FidoNet 2:550/2 && 2:5030/4441]