Kijelölt felhasználók AD authentikációja

Ubuntu Linux

Üdv!

Be kellene állítanom egy Ubuntu Server 10.4-et, hogy AD-vel authentikáljon. Találtam is néhány leírást, a gondom csak az, hogy mindegyik "túl jó megoldás": A leírás szerint minden AD-ben engedélyezett user be fog tudni jelentkezni a rendszerbe config után. Nekem az kellene, hogy csak néhány kijelölt felhasználó - akik azt a rendszert adminisztrálják - tudjon bejelentkezni rá.

Meg lehet ezt oldani mondjuk Likewise Open-nel vagy Centrify-jal (vagy egyéb cuccal, amiben két parancs az AD integráció beállítása), illetve az ehhez (https://help.ubuntu.com/community/ActiveDirectoryHowto) hasonló kézi confignál?

A válaszokat előre is köszi.

  • 1195 megtekintés

( mauzi v | 2011. 03. 17., cs – 23:38 )

gondolom, hogy az AD-hez LDAP-al authentikálnál. ebben az esetben AD-ben az
engedélyezett júzereket egy "belephet" nevű csoportba berakni, és az LDAP lekérdezés
végéhez egy &memberOf=belephet feltételt hozzáfűzni...

( Mico v | 2011. 03. 17., cs – 23:46 )

hello, a userek szolgáltatásokon keresztül jelentkeznek be (pl. ssh), a szolgáltatásokban korlátozod csoportra a használhatóságot.
gondolom ha AD, akkor nem egy gép, én puppet alatt csináltam egy vagon cuccot, hogy AD csoportokkal szabályozható legyen gépenként, gépcsoportonként az ssh, sudo, ssh kulcsok stb.

hát, mire vagy kíváncsi? :)

winbind mellett döntöttem, mert a sima ldap/krb5 bár letisztultabbnak tűnik, de multi OS környezetben ahány platform, annyi szívás, meg séma módosítása (akár csak unix extension) kerülendő volt, meg a winbind-be belereszeltek elég sok mindent (forest, stb)

puppet van (akinek sok gépe van és még nincs, annak legyen), a kliens oldali winbind/krb5/nss/pam konfigot itt oldottam meg (konfig fileok legyártása). alapesetben csak fel kell venni a gépet, aztán beírni hogy net ads join.

a bejelentkezések korlátozása, vannak security csoportok és lényegében szintén puppet alól gyártok pl. /etc/user.allow filet, usernév listával és pam-listfile vagy vmi hasonlóval megy az ellenőrzés. openssh mondjuk tud közvetlenül is csoportra, de ez sokkal rugalmasabb és mindenféle PAM konfigot lehet variálni, és vannak olyan platformok ahol az openssh nem tudja, és bőven elég volt a winbindet is beforgatni ezer éves cuccok alá. :) Gyártok sudoers file-okat is, ott már lehet közvetlenül csoportra hivatkozni. Az "első" verzió úgy nézett ki, hogy minden géphez tartozott egy gépnév_user és gépnév_root csoport, ezekből legyártotta az user allow és sudoers fájlokat stb (meg egy rendszergazda csoportból még mindenkit), ez azóta már fejlődött.

User ID mappingre figyelni kell, különösen ha vannak trustolt domainek, nyilván nem ártanak közös home directoryk, NFSv4 szintén mappingre figyelni. meg arra, hogy sys authnál ilyen 16 csoportot tud az NFS (windows file share környezetben meg elég sok csoportja tud lenni valakinek..).

ha van pl. egy apache virtualhost, amit el kell látni AD autentikációval, ott szintén a winbindes ntlm modult javaslom (szintén a cross domain support stb miatt), ha valaki a direkt LDAP-ot választja, ott arra kell figyelni, hogy az OpenLDAP kliens library nem tud referralokat, vagy nem jól tudja, ezért a global catalog szerverektől kell lekérdezni a 3260-as porton. De amúgy ha az a cél, hogy user/password alapú szolgáltatás menjen AD-ból, az menni fog és ha PAM-os, akkor mindent meg lehet csinálni. :)

Most épp azzal küzdök, hogy régebbi DB2, bár azt írják, hogy NSS meg PAM meg minden ami kell, de mégis rohadtul az /etc/passwd -t matatja. Sörrel fizetek, ha valaki mond rá okosat! :)

( battila | 2011. 03. 18., p – 08:02 )

En ugy oldottam meg, hogy az ad-ben letrrhoztak egy csoportot (vagy mit) es az ldap-nak megmondtam, hogy az a csoport tudjon belepni. Ha neerek megnezem neked.

( Flatron | 2011. 03. 18., p – 10:16 )

Köszi az eddigi válaszokat!

Ha lehetséges megoldani, akkor inkább olyan megoldások érdekelnének, amihez nem kell az AD-t konfigurálni, hanem helyben lehetne valahogy korlátozni.

Az esetleg megoldható, hogy csak olyan felhasználók léphessenek be, akiknek már van account-juk a helyi rendszeren?