Re: probleme sur ldap

[Julien Garcia <garcia@obs-besancon.fr>]

Julien Garcia a écrit :
   J'ai trouvé, il fallait mettre dans common-account:
   account required       pam_ldap.so ignore_unknown_user

> Bonjour,
>    j'ai installé un serveur ldap, pour faire de l'authentification sur 
> plusieurs machines, pour une raison de sécurité je veut que chaque 
> machines utilisent les comptes des utilisateurs membre d'un groupe 
> créer sous ldap afin de pouvoir filtrer les accès.
>   Donc  j'ai creer un groupe utilisateurs et un groupe machines, 
> lorsqu'un utilistateur autorisé ce connecte sur une machine  cela 
> marche bien, mais lorsqu'un utilisateur non autorisé(qui ne fait pas 
> partie du groupe machine) tente de ce connecter j'ai le message 
> suivant:"You must be a memberUid of 
> cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr to login." mais la 
> session est tout de meme ouverte.
>
> voila quelques fichier de config
>
> "/etc/pam_ldap.conf"
> >>host 127.0.0.1
> >>base dc=mon,dc=exemple,dc=fr
> >>ldap_version 3
> >>pam_groupdn cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr
> >>pam_member_attribute memberUid
>
> "/etc/pam.d/common-auth"
> >>auth    sufficient       pam_ldap.so
> >>auth    required        pam_unix.so     nullok_secure  try_first_pass
>
> "/etc/pam.d/common-account"
> >>account sufficient       pam_ldap.so ignore_unknown_user
> >>account required        pam_unix.so try_first_pass
>
> "/etc/pam.d/common-password"
> >>password        sufficient       pam_ldap.so use_authtok
> >>password        required        pam_unix.so  nullok obscure min=4 
> max=8 md5 try_first_pass
>
> "/etc/pam.d/common-session"
> >>session required    pam_unix.so
> >>session required    pam_mkhomedir.so skel=/etc/skel/ umask=022
> >>session optional     pam_ldap.so
>
> est un petit slapcat:
> >>dn: ou=utilisateur,dc=mon,dc=exemple,dc=fr
> >>objectClass: top
> >>objectClass: organizationalUnit
> >>ou: utilisateur
> >>structuralObjectClass: organizationalUnit
> >>entryUUID: 69a52576-84c9-102a-9ae5-e2b25fcda9fa
> >>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
> >>createTimestamp: 20060531081549Z
> >>entryCSN: 2006053108:15:49Z#0x0001#0#0000
> >>modifiersName: cn=admin,dc=mon,dc=exeoù il à le droitmple,dc=fr
> >>modifyTimestamp: 20060531081549
>
>
> >>dn: ou=machines,dc=mon,dc=exemple,dc=fr
> >>objectClass: top
> >>objectClass: organizationalUnit
> >>ou: machines
> >>structuralObjectClass: organizationalUnit
> >>entryUUID: 69b85c0e-84c9-102a-9ae6-e2b25fcda9fa
> >>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
> >>createTimestamp: 20060531081549Z
> >>entryCSN: 2006053108:15:49Z#0x0002#0#0000
> >>modifiersName: cn=admin,dc=mon,dc=exemple,dc=fr
> >>modifyTimestamp: 20060531081549Z
>
> >>dn: cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr
> >>objectClass: posixGroup
> >>objectClass: top
> >>cn: machine1
> >>gidNumber: 40003
> >>structuralObjectClass: posixGroup
> >>entryUUID: b5351a18-84ca-102a-9aea-e2b25fcda9fa
> >>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
> >>createTimestamp: 20060531082505Z
> >>memberUid: uid=stagiaire1,ou=utilisateur,dc=mon,dc=exemple,dc=fr
> >>entryCSN: 2006060612:35:06Z#0x0001#0#0000
> >>modifiersName: cn=admin,dc=mon,dc=exemple,dc=fr
> >>modifyTimestamp: 20060606123506Z
>
>
>    lorsque je fait un getent passwd je voit tous les comptes possible 
> meme ceux qui n'ont pas accès, je pense que l'ouverture de la session 
> est du à ça.     je pense que mon erreur vient de la config de pam 
> mais je seche depuis plusieurs jours sur ce probleme.
>    merci de votre aide
>