Open(?)LDAP alias

Linux-haladó

Sziasztok.

Erdekelne, ki hogyan oldotta meg az authentikációt ldap alapon.

Elözmény:
1 hete kezdtem bele Debian (stable) alatt egy LDAP "adatbázis" létrehozásának,
Open(?)Ldap / pam alapon.
A következő a problémám..
.. szeretnék valami ilyesmi strukturát megvalósítani: 


+ dc=openldap
  + ou=groups
  + ou=people
    + uid=admin
  + ou=servers
    + cn=serverA
      + uid=admin (objectClass: alias)
    + cn=serverB
    .. 
  ..

Eddig el is jutottam, viszont beleütköztem abba, hogy igy nem tudom szabályozni,
hogy egy adott szerveren (szerverA) egy user beléphet ssh-n, de mondjuk xdmp vagy más
elérésen nem.
Az ok, hogy az alias objectClass esetén azok attributumai figyelmen kivül vannak hagyva kereséskor.
Szóval a kérdés.. ki hogy oldotta meg, hogy normálisan strukturált (áttekinthető) legyen a az adatbázis
szerkezete, szerverenként lehessen szabályozni, mivel tud bejelentkezni, es a tetejebe, hogy megvalosuljon
az 1 felhasználó 1 jelszó elve.
Üdv.
Fri

  • 1097 megtekintés

( cstamas | 2006. 09. 22., p – 12:30 )

PAM-mal érdemes megoldani, hogy milyen szolgáltatást lehet elérni egy LDAP-os user-nek.
host: somehost.bla.bla
használatával tudod szabályozni, hogy ki melyik gépre léphet be.
Ja a shadow táblát ne hozd át libnss-ldap -pal.
Ehelyett használd a libpam-ldap -ot.

( traktor | 2006. 09. 22., p – 17:02 )

A kulonbozo szolgaltatasok kozti szelekciot en csoportokkal oldanam meg. Mondjuk legyen egy "sshlogin" csoport es aki annak tagja az belephet sshn (vagy "sshloginmachine1"...) Az sshd-nek konkretan meg lehet mondani, hogy csak egy adott csoportot engedjen (vagy tilson), a tobbi szolgaltatasnal mondjuk nemtom, hogy lenne ez egyszeru...

( Frimen (nem ellenőrzött) | 2006. 09. 22., p – 19:11 )

Köszi a hozzászólásokat.

A host-os bejegyzés nem alkalmazható a fent leirt helyzetre.. szovaly semmire nem jó.

A group-os jónak tünt nekem is, de van egy olyan megérzésem, hogy korlátos, ill. többlet munkát hoz be.

Sajnos az a baj, hogy a legtöbb hogyan az LDAP-rol egy szem*t trágya munka.

Azóta szerencsére sikerült megtalálnom a "kiskaput".. ami üti a fenti kettőt.

Köszi

Fri

> A host-os bejegyzés nem alkalmazható a fent leirt helyzetre.. szovaly semmire nem jó.

Miért?

> Sajnos az a baj, hogy a legtöbb hogyan az LDAP-rol egy ...

Sajnos tényleg igazad van, ezeknek a howto -knak a szerzői sokszor maguk se értik a lényeget, vagy nem akarják elmagyarázni.

> Azóta szerencsére sikerült megtalálnom a "kiskaput".. ami üti a fenti kettőt.

Írd már le, hogy mi az.

kösz.