Sur un serveur, j'utilise LDAP pour identifier les
utilisateurs. Jusque là, tout va bien. Je tente maintenant de
configurer PAM pour éviter que tout le monde puisse se connecter par
ssh. Dans sshd_config, je peux dire des groupes, mais cela
m'arrangerait de pouvoir configurer dans PAM (par exemple, les
critères sont plus compliqués que la simple appartenance à un groupe).
La doc sur le sujet est extrêmement spartiate. Quelqu'un a-t-il un
exemple sous la main ? Est-il de plus possible de préciser le filtre
selon le service (et non pas de manière globale avec pam_filter qui a
l'air d'être fait pour ça dans pam_ldap.conf) ?
--
I WILL NOT FAKE SEIZURES
I WILL NOT FAKE SEIZURES
I WILL NOT FAKE SEIZURES
-+- Bart Simpson on chalkboard in episode 8F23
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VANHULLEBUS Yvan
Vincent Bernat writes:
Coucou !
Sur un serveur, j'utilise LDAP pour identifier les utilisateurs. Jusque là, tout va bien. Je tente maintenant de configurer PAM pour éviter que tout le monde puisse se connecter par ssh. Dans sshd_config, je peux dire des groupes, mais cela m'arrangerait de pouvoir configurer dans PAM (par exemple, les critères sont plus compliqués que la simple appartenance à un groupe).
La doc sur le sujet est extrêmement spartiate. Quelqu'un a-t-il un exemple sous la main ? Est-il de plus possible de préciser le filtre selon le service (et non pas de manière globale avec pam_filter qui a l'air d'être fait pour ça dans pam_ldap.conf) ?
Avec la version standard de PAM_LDAP, pas a ma connaissance.
La version de chez Debian (prendre celle de la Sarge, parcequ'il y a un bug dans la version de Woody) propose cependant une modif de ce genre (et le patch est assez facile a recuperer / porter), ca donne un truc genre:
Ce filtre sera ajoute au filtre normalement construit.
Ca fonctionne bien, mais avec une subtilites:
Dans la plupart des (rares) exemples qu'on voit sur le net, pam_ldap et nss_ldap utilisent le meme compte pour acceder au LDAP.
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
Il faut donc configurer pam_ldap et nss_ldap avec 2 comptes differents sur le LDAP (et le compte utilise par NSS doit avoir des ACLs lui autorisant uniquement l'acces aux champs publics, pour qu'il ne puisse pas authentifier les gens).....
Et comme les deux confs utilisent (toujours au moins sous Linux) le meme fichier pour stocker le mot de passe du compte, il faut donc que ces 2 comptes differents aient le meme mot de passe......
C'est donc beau, le progres, mais y'a encore du boulot !!!
A +
VANHU.
Vincent Bernat <vince@khabale.org> writes:
Coucou !
Sur un serveur, j'utilise LDAP pour identifier les
utilisateurs. Jusque là, tout va bien. Je tente maintenant de
configurer PAM pour éviter que tout le monde puisse se connecter par
ssh. Dans sshd_config, je peux dire des groupes, mais cela
m'arrangerait de pouvoir configurer dans PAM (par exemple, les
critères sont plus compliqués que la simple appartenance à un groupe).
La doc sur le sujet est extrêmement spartiate. Quelqu'un a-t-il un
exemple sous la main ? Est-il de plus possible de préciser le filtre
selon le service (et non pas de manière globale avec pam_filter qui a
l'air d'être fait pour ça dans pam_ldap.conf) ?
Avec la version standard de PAM_LDAP, pas a ma connaissance.
La version de chez Debian (prendre celle de la Sarge, parcequ'il y a
un bug dans la version de Woody) propose cependant une modif de ce
genre (et le patch est assez facile a recuperer / porter), ca donne un
truc genre:
Ce filtre sera ajoute au filtre normalement construit.
Ca fonctionne bien, mais avec une subtilites:
Dans la plupart des (rares) exemples qu'on voit sur le net, pam_ldap
et nss_ldap utilisent le meme compte pour acceder au LDAP.
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas
la fiche (grace au filtre ajoute), l'utilisateur peut quand meme
s'authentifier via nss_ldap, qui n'a pas ce filtre....
Il faut donc configurer pam_ldap et nss_ldap avec 2 comptes differents
sur le LDAP (et le compte utilise par NSS doit avoir des ACLs lui
autorisant uniquement l'acces aux champs publics, pour qu'il ne puisse
pas authentifier les gens).....
Et comme les deux confs utilisent (toujours au moins sous Linux) le
meme fichier pour stocker le mot de passe du compte, il faut donc que
ces 2 comptes differents aient le meme mot de passe......
C'est donc beau, le progres, mais y'a encore du boulot !!!
Sur un serveur, j'utilise LDAP pour identifier les utilisateurs. Jusque là, tout va bien. Je tente maintenant de configurer PAM pour éviter que tout le monde puisse se connecter par ssh. Dans sshd_config, je peux dire des groupes, mais cela m'arrangerait de pouvoir configurer dans PAM (par exemple, les critères sont plus compliqués que la simple appartenance à un groupe).
La doc sur le sujet est extrêmement spartiate. Quelqu'un a-t-il un exemple sous la main ? Est-il de plus possible de préciser le filtre selon le service (et non pas de manière globale avec pam_filter qui a l'air d'être fait pour ça dans pam_ldap.conf) ?
Avec la version standard de PAM_LDAP, pas a ma connaissance.
La version de chez Debian (prendre celle de la Sarge, parcequ'il y a un bug dans la version de Woody) propose cependant une modif de ce genre (et le patch est assez facile a recuperer / porter), ca donne un truc genre:
Ce filtre sera ajoute au filtre normalement construit.
Ca fonctionne bien, mais avec une subtilites:
Dans la plupart des (rares) exemples qu'on voit sur le net, pam_ldap et nss_ldap utilisent le meme compte pour acceder au LDAP.
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
Il faut donc configurer pam_ldap et nss_ldap avec 2 comptes differents sur le LDAP (et le compte utilise par NSS doit avoir des ACLs lui autorisant uniquement l'acces aux champs publics, pour qu'il ne puisse pas authentifier les gens).....
Et comme les deux confs utilisent (toujours au moins sous Linux) le meme fichier pour stocker le mot de passe du compte, il faut donc que ces 2 comptes differents aient le meme mot de passe......
C'est donc beau, le progres, mais y'a encore du boulot !!!
A +
VANHU.
Vincent Bernat
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ? -- BOFH excuse #332: suboptimal routing experience
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26,
VANHULLEBUS Yvan <vanhu@nospam_free.fr> disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas
la fiche (grace au filtre ajoute), l'utilisateur peut quand meme
s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
--
BOFH excuse #332:
suboptimal routing experience
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ? -- BOFH excuse #332: suboptimal routing experience
VANHULLEBUS Yvan
Vincent Bernat writes:
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque j'ai une forte apprehension a l'idee de mettre mes comptes root sur le LDAP.....
A +
VANHU.
Vincent Bernat <vince@khabale.org> writes:
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26,
VANHULLEBUS Yvan <vanhu@nospam_free.fr> disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas
la fiche (grace au filtre ajoute), l'utilisateur peut quand meme
s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque
j'ai une forte apprehension a l'idee de mettre mes comptes root sur le
LDAP.....
OoO Lors de la soirée naissante du lundi 30 août 2004, vers 17:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque j'ai une forte apprehension a l'idee de mettre mes comptes root sur le LDAP.....
A +
VANHU.
Vincent Bernat
OoO En cette matinée ensoleillée du mardi 31 août 2004, vers 09:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque j'ai une forte apprehension a l'idee de mettre mes comptes root sur le LDAP.....
Je pensais justement utiliser pam_pwdb pour éviter que pam_unix ne se mette à causer LDAP. Je pense que cela résoudrait le problème. Je viens également de découvrir qu'il y avait deux syntaxes à PAM dont l'une permet de faire des branchements. Niveau exemple, c'est par contre toujours le désert. -- printk(KERN_WARNING "Warning: defective CD-ROM (volume sequence number). Enabling "cruft" mount option.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
OoO En cette matinée ensoleillée du mardi 31 août 2004, vers 09:26,
VANHULLEBUS Yvan <vanhu@nospam_free.fr> disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve
pas la fiche (grace au filtre ajoute), l'utilisateur peut quand
meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque
j'ai une forte apprehension a l'idee de mettre mes comptes root sur
le LDAP.....
Je pensais justement utiliser pam_pwdb pour éviter que pam_unix ne se
mette à causer LDAP. Je pense que cela résoudrait le problème. Je
viens également de découvrir qu'il y avait deux syntaxes à PAM dont
l'une permet de faire des branchements. Niveau exemple, c'est par
contre toujours le désert.
--
printk(KERN_WARNING "Warning: defective CD-ROM (volume sequence
number). Enabling "cruft" mount option.n");
2.2.16 /usr/src/linux/fs/isofs/inode.c
OoO En cette matinée ensoleillée du mardi 31 août 2004, vers 09:26, VANHULLEBUS Yvan disait:
Or, vu la conf (au moins sous Linux), meme si pam_ldap ne trouve pas la fiche (grace au filtre ajoute), l'utilisateur peut quand meme s'authentifier via nss_ldap, qui n'a pas ce filtre....
C'est bien dans le cas où l'on a en plus pam_unix ?
Euh, je suppose, mais je n'ai pas verifie, tout simplement parceque j'ai une forte apprehension a l'idee de mettre mes comptes root sur le LDAP.....
Je pensais justement utiliser pam_pwdb pour éviter que pam_unix ne se mette à causer LDAP. Je pense que cela résoudrait le problème. Je viens également de découvrir qu'il y avait deux syntaxes à PAM dont l'une permet de faire des branchements. Niveau exemple, c'est par contre toujours le désert. -- printk(KERN_WARNING "Warning: defective CD-ROM (volume sequence number). Enabling "cruft" mount option.n"); 2.2.16 /usr/src/linux/fs/isofs/inode.c
