Вопросы Теги

pam_groupdn вообще не работает. всегда все пользователи, которым разрешен вход в систему

Я пытался установить pam, ldap на fedora23. Я настроил pam.d / system-auth следующим образом: 

    #%PAM-1.0
    # This file is auto-generated.
    # User changes will be destroyed the next time authconfig is run.
    auth required      pam_env.so
    auth sufficient    pam_unix.so nullok try_first_pass
    auth requisite     pam_succeed_if.so uid >= 100 quiet
    auth sufficient    pam_ldap.so use_first_pass
    auth required      pam_deny.so

    account     required      pam_unix.so broken_shadow
    account     sufficient    pam_localuser.so
    account     sufficient    pam_succeed_if.so uid < 500 quiet
    account     sufficient    pam_ldap.so
    account     required      pam_permit.so

    password    requisite     pam_cracklib.so try_first_pass retry=3 type=
    password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
    password    sufficient    pam_ldap.so use_authtok
    password    required      pam_deny.so

    session     optional      pam_keyinit.so revoke
    session     required      pam_limits.so
    session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
    session     required      pam_unix.so
    session     optional      pam_ldap.so

и ldap.conf следующим образом: 

    BASE dc=aaa,dc=bbb,dc=ccc
    URI ldap://aaa.bbb.ccc/
    sudoers_base ou=SUDOers,dc=aaa,dc=bbb,dc=ccc
    pam_groupdn cn=serverFedora,ou=groups,dc=aaa,dc=bbb,dc=ccc

, но все пользователи могут войти в систему независимо от того, находятся они в группе или нет. есть идеи о том, что я пропустил?

Заранее спасибо

Спасибо за ответ Я проверил человека, и этот вариант не поддерживался. Я проверил и нашел эти параметры в /etc/nslcd.conf:[12154 sizes, а также в /etc/ldap.conf:

nss_base_group     cn=fedoraserver,ou=groups,dc=aaa,dc=bbb,dc=ccc
nss_base_passwd     ou=people,dc=aaa,dc=bbb,dc=ccc
nss_base_shadow     ou=people,dc=aaa,dc=bbb,dc=ccc

, но все же у меня такая же проблема, и все пользователи могут войти в систему, независимо от того, являются ли они членами Fedoraserver или не. есть какие-нибудь идеи по этому поводу?

0
задан 28 March 2018 в 18:17
1 ответ

Не все модули pam_ldap поддерживают одни и те же параметры, а параметр pam_groupdn , который вы пытаетесь использовать, взят из реализации PADL модуля, который Дистрибутивы Linux пытаются уйти от. Не рекомендуется возвращаться к старому модулю PADL, поскольку каждый процесс должен поддерживать свое собственное отдельное состояние и соединение с сервером LDAP.

Проверьте страницу руководства ( man pam_ldap ) и убедитесь, что этот параметр указан. Если его нет, вы используете другой модуль PAM, и вам нужно будет проконсультироваться с документацией о том, как реализовать это групповое ограничение с использованием вашего текущего модуля.

(в качестве альтернативы, взгляните на pam_limits )

0
ответ дан 5 December 2019 в 10:49

Теги

Похожие вопросы