LDAP-Authentifizierung mit Gruppenmitgliedschaft

Ich muss mehrere Linux-Hosts verwalten und ich versuche, einen zentralisierten Authentifizierungsmechanismus mit OpenLDAP einzurichten. So auf dem LDAP-Server:LDAP-Authentifizierung mit Gruppenmitgliedschaft

ou=Group,dc=example,dc=com 
\_cn=test_group (groupOfNames),ou=Group,dc=example,dc=com 
    \_ member: uid=test_user,ou=User,dc=example,dc=com 
ou=User,dc=example,dc=com 
\_uid=test_user (posixAccount),ou=User,dc=example,dc=com 
\_uid=another_user (posixAccount),ou=User,dc=example,dc=com

Auf einem Linux-Client, ich will nur den Zugang zu ermöglichen, für die Mitglieder der test_group Gruppe, so in /etc/ldap.conf:

base dc=example,dc=com 
uri ldap://ldap_server_ip 
ldap_version 3 
rootbinddn cn=admin,dc=example,dc=com 
pam_filter objectclass=posixAccount 
pam_login_attribute uid 
pam_groupdn cn=test_group,ou=Group,dc=example,dc=com 
pam_member_attribute member

Aber die another_user Benutzer können sich auch einloggen! Was habe ich falsch gemacht? Danke

Quelle

2016-07-11 Lionel Roubeyrie

Haben Sie Slapd gestartet und versuchen Sie es? – Zeigeist

Ja, die Authentifizierung funktioniert mit LDAP + PAM –

Sie müssen auch /etc/openldap/ldap.conf aktualisieren. – Roshith

Ok, das Problem kommt von der automatischen Konfiguration im Verzeichnis /etc/pam.d. Zum Beispiel die Common-Account-Datei mit:

account [success=2 new_authtok_reqd=done default=ignore]  pam_unix.so 
account [success=1 default=ignore]  pam_ldap.so

geändert werden müssen, um:

account sufficient pam_ldap.so 
account required pam_unix.so

Alles, was es jetzt ist OK.

Quelle

2016-07-12 12:46:56

LDAP-Authentifizierung mit Gruppenmitgliedschaft

Antwort

Verwandte Themen