Централизованная авторизация Fusiondirectory 1.2

fusiondirectory, ldap

0

2

Добрый день коллеги

Решил сделать централизованную авторизацию на всех серверах через ldap, в качестве управления через веб был выбран fusiondirectory версии 1,2.

Все работает кроме ограничение по хостам(какой юзер может по ssh, заходить и на какой сервер.)

Может кто-то прикручивал такое у себя, подскажите какая модуль и схема для этого необходима.

Я так понимаю что я должен завести весь свой список серверов в ldap сначала, это нужно делать в разделе systems или я не там смотрю.

DNS plugin для этого нужен?

FusionInventory plugin для этого нужен?

Буду рад любой помощи, Спасибо

Ссылка

←	Cтатическая привязка адресов в isc-dhcp-server

curl sudo

→

Ты б что ли этот фьюжндиректори в теги поставил. Раз тебе по нему спец нужен.

~~mos~~ ★★☆☆☆
(02.08.17 13:51:16 MSK)

Ответ на: комментарий от mos 02.08.17 13:51:16 MSK

Добавил Спасибо

mkgeka ★
(02.08.17 13:54:52 MSK) автор топика

Ответ на: комментарий от mkgeka 02.08.17 13:54:52 MSK

И то что ты хочешь имхо не так тривиально. Ты представляешь как это должно работать без всяких фьюжндиректорей? На уровне ссх и членства юзера в каких-либо группах и что этим группам ну или юзеру напрямую сопоставлен список хостов куда он может логиниться? емнип сам ссх ничего такого из лдап брать не будет а по сему надо настраивать системную аутентификацию и авторизацию.
Тебе надо в гугл и без всякого фьюжндиректори пока что. Например так https://www.google.ru/search?q=ssh allowed users ldap

~~mos~~ ★★☆☆☆
(02.08.17 14:03:20 MSK)

Ответ на: комментарий от mos 02.08.17 14:03:20 MSK

Спасибо за ответ

Система авторизации уже настроена, юзера автоматизируются через ldap. Возможно я ошибаюсь но по идее должно быть как то примерно так:

1. Заводим сервер в ldap

2. заводим юзера в ldap

3. Если юзеру можно заходить на данный сервер, ldap пропускает если нет то не пропускает.

То что Вы скинули уже настроено, я думаю затык в том что мне нужно правильно зависти сами сервера.

Мне либо плагина не хватает или что-то делаю не правильно

Потому и спрашиваю какой плагин и схема для этого нужна.

Нужно как то сопоставить хост-юзер. Если мы сможем сопоставить то сможем и ограничить.

Спасибо

mkgeka ★
(02.08.17 14:41:58 MSK) автор топика

Ответ на: комментарий от mkgeka 02.08.17 14:41:58 MSK

вот пункт 3 совершенно безграмотный. ldap может пускать или нет юзера только к своим записям. к логину он никак допускать/не допускать не может. другие программы спрашивают у него - можно/нет. это авторизация называется.
а про плагин - это ты всё про фьюжн? забудь про него, сначала пойми как это всё на системном уровне работает.

~~mos~~ ★★☆☆☆
(02.08.17 17:29:21 MSK)

Ответ на: комментарий от mkgeka 02.08.17 14:41:58 MSK

Если юзеру можно заходить на данный сервер, ldap пропускает если нет то не пропускает.

Я не в курсе, какие схемы использует fusiondirectory, но можно попробовать через pam. Найти файл, который отвечает у пама за sshd, посмотреть что там используется (обычно сводится в конечном итоге к system-login), дописать туда лдап в качестве источника и при необходимости сделать для лдап нужную схему, если нет готовой.

imul ★★★★★
(02.08.17 18:31:09 MSK)

Ссылка

Ответ на: комментарий от mos 02.08.17 17:29:21 MSK

Авторизация реализованная через pam.d и там есть пункт

pam_check_host_attr

этот как раз и отвечает за проверку атрибута host в юзере, так что я не согласен по поводу «безграмотен». Как работает авторизация я понимаю и сделал через старый добрый pam.d. Не получается пока что только ограничение по хостам, согласно офф докам pam_check_host_attr вместе с pam_filter objectclass в ldap.conf как раз за это и отвечает, но пока толком не работает, топишь он понимает если атрибут не верный например но вот корректно не ограничивает.

mkgeka ★
(03.08.17 10:48:38 MSK) автор топика

Ответ на: комментарий от mkgeka 03.08.17 10:48:38 MSK

В общем победил

Настройки были верные за исключением одного пункта, если мы хотим использовать pam_check_host_attr мы должны сделать следующее

If you want to use the "pam_check_host_attr" feature, make sure "pam_unix.so" doesn't provide a valid "account" via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use "ldap" for "shadow" in /etc/nsswitch.conf, just use "shadow: files"

Инфа взята с /usr/share/doc/libpam-ldap/README.Debian

Все остальное верно.

mkgeka ★
(03.08.17 11:02:38 MSK) автор топика

Ответ на: комментарий от mkgeka 03.08.17 11:02:38 MSK

Если кому интересно

Для того что б реализовать выше указанную схему на клиенте: ldap.conf

base dc=example,dc=com

uri ldap://YOUR_SERVER_IP

ldap_version 3



rootbinddn cn=admin,dc=example,dc=com

pam_filter objectclass=hostObject

pam_login_attribute uid


pam_check_host_attr yes

pam_password md5

для sudo необходим пакет ldap-sudo sudo-ldap.conf

BASE    dc=example,dc=com
URI     ldap://YOUR_SERVER_IP
SUDOERS_BASE    ou=sudoers,dc=example,dc=com

в /etc/nsswitch.conf

......
passwd:         compat ldap
group:          compat ldap
......

это помимо настройки сервера ldap конечно.

Спасибо

mkgeka ★
(03.08.17 11:10:24 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Cтатическая привязка адресов в isc-dhcp-server

Admin

curl sudo

→

Похожие темы