openldap linux hosts kliensek

 ( openstep | 2013. március 18., hétfő - 15:27 )

Sziasztok!

OpenLDAP címtárral működő linux(ubuntu) rendszer kiépítéséhez kérnék tanácsot.
Az lenne az egyik kérdés, hogy mint ahogy van a sudo helyett is sudoers.ldap van e magoldás arra, hogy a host vagyis kliens gépeket is felvehessem ldap-ba és meg tudjam adni, hogy adott gépre ki léphet be?
Tehát ne kelljen a kliens gép konfigjába írnom az egyes usereket, csoportokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Igen ez volt egy másik lapon is említve.
Itt fel van sorolva 3 fajta mód:
https://help.ubuntu.com/community/LDAPClientAuthentication#pam_check_host_attr_.28limited.29

pam_check_host_attr (limited)
pam_filter (limited)
nss_base_ (recommended)

Az nss_base_ (recommended) az ajánlott. Ezt már próbálta valaki? Ha igen modnjátok már el, pontosan mit kell csinálni és hogy működik.

Még egyet:
azt mondja az ldap.conf hogy miután a pam_check_host_attr yes értékre állítom még a and pam_ldap is configured for account management (authorization) akkor fog működni.
Na én ezt az utóbbit nem találom, hogy hol és pontosan hogyan kell beállítani.

Itt (debian-hoz) van részletes leírás, ha jól értem az Ubuntu-s írást, akkor annyi van, hogy a common-auth és common-account-hoz is fel kell venni az ldap-ot.

http://wiki.debian.org/LDAP/PAM

BlackY

Akkor most valami turpisság van, mert a megadottak szertint beállítottam és mégis beenged mindenkit.

Egyébként ehhez kell, hogy az ldap-ban legyen egy ou=hosts ág ahol fel vannak sorolva a gépek? Vagy ez attól független?
Valakinek van e már ilyen működő rendszere?

tudja e valaki, hogy lehet a pam_ldap-ot account management (authorization)-re configurálni?

OK, a megoldás az ldapban az nss_base filtereket kell használni, azzal megy.

Még az érdekelne, hogy az nss_base részben meg kell adni a host nevet, így sajnos minden host gépre külön ldap.conf-ot kell csinálni.
Ebben az a fura, hogy maga a gép tudja magáról, hogy mi a neve, benne van a host fájlban.
Meg lehet e oldani valahogy, hogy ezt onnan kinyerje és ne kelljen nekem még azt külön beleírni?

Valami ötlet?

sudoers és ssh is kezel csoportokat
Az ssh konfigban beállítod, hogy melyik csoportok tagjainak engedélyezed a belépést, sudoers-be pedig azt, hogy melyik csoport sudo-zhat.

Így elég keveset kell gépenként konfigurálni, a jogosultságokat meg LDAP-ban tudod beállítani, listázni, a változásokat nyomonkövetni, stb.

Signup - Esetleg FreeIPA (OpenLDAP helyett), meg sssd_pam egy kört megérhet - amikor kipróbáltam, szépen működött a beállított policy-nak megfelelően.