Bonjour,
j'ai installé un serveur ldap, pour faire de l'authentification sur
plusieurs machines, pour une raison de sécurité je veut que chaque
machines utilisent les comptes des utilisateurs membre d'un groupe
créer sous ldap afin de pouvoir filtrer les accès.
Donc j'ai creer un groupe utilisateurs et un groupe machines,
lorsqu'un utilistateur autorisé ce connecte sur une machine cela
marche bien, mais lorsqu'un utilisateur non autorisé(qui ne fait pas
partie du groupe machine) tente de ce connecter j'ai le message
suivant:"You must be a memberUid of
cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr to login." mais la
session est tout de meme ouverte.
voila quelques fichier de config
"/etc/pam_ldap.conf"
>>host 127.0.0.1
>>base dc=mon,dc=exemple,dc=fr
>>ldap_version 3
>>pam_groupdn cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr
>>pam_member_attribute memberUid
"/etc/pam.d/common-auth"
>>auth sufficient pam_ldap.so
>>auth required pam_unix.so nullok_secure try_first_pass
"/etc/pam.d/common-account"
>>account sufficient pam_ldap.so ignore_unknown_user
>>account required pam_unix.so try_first_pass
"/etc/pam.d/common-password"
>>password sufficient pam_ldap.so use_authtok
>>password required pam_unix.so nullok obscure min=4
max=8 md5 try_first_pass
"/etc/pam.d/common-session"
>>session required pam_unix.so
>>session required pam_mkhomedir.so skel=/etc/skel/ umask=022
>>session optional pam_ldap.so
est un petit slapcat:
>>dn: ou=utilisateur,dc=mon,dc=exemple,dc=fr
>>objectClass: top
>>objectClass: organizationalUnit
>>ou: utilisateur
>>structuralObjectClass: organizationalUnit
>>entryUUID: 69a52576-84c9-102a-9ae5-e2b25fcda9fa
>>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
>>createTimestamp: 20060531081549Z
>>entryCSN: 2006053108:15:49Z#0x0001#0#0000
>>modifiersName: cn=admin,dc=mon,dc=exeoù il à le droitmple,dc=fr
>>modifyTimestamp: 20060531081549
>>dn: ou=machines,dc=mon,dc=exemple,dc=fr
>>objectClass: top
>>objectClass: organizationalUnit
>>ou: machines
>>structuralObjectClass: organizationalUnit
>>entryUUID: 69b85c0e-84c9-102a-9ae6-e2b25fcda9fa
>>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
>>createTimestamp: 20060531081549Z
>>entryCSN: 2006053108:15:49Z#0x0002#0#0000
>>modifiersName: cn=admin,dc=mon,dc=exemple,dc=fr
>>modifyTimestamp: 20060531081549Z
>>dn: cn=machine1,ou=machines,dc=mon,dc=exemple,dc=fr
>>objectClass: posixGroup
>>objectClass: top
>>cn: machine1
>>gidNumber: 40003
>>structuralObjectClass: posixGroup
>>entryUUID: b5351a18-84ca-102a-9aea-e2b25fcda9fa
>>creatorsName: cn=admin,dc=mon,dc=exemple,dc=fr
>>createTimestamp: 20060531082505Z
>>memberUid: uid=stagiaire1,ou=utilisateur,dc=mon,dc=exemple,dc=fr
>>entryCSN: 2006060612:35:06Z#0x0001#0#0000
>>modifiersName: cn=admin,dc=mon,dc=exemple,dc=fr
>>modifyTimestamp: 20060606123506Z
lorsque je fait un getent passwd je voit tous les comptes possible
meme ceux qui n'ont pas accès, je pense que l'ouverture de la session
est du à ça. je pense que mon erreur vient de la config de pam
mais je seche depuis plusieurs jours sur ce probleme.
merci de votre aide