Re: Restriction de connexion SSH

[Emmanuel Lesouef <e.lesouef@crbn.fr>]

Le Fri, 17 Oct 2008 20:46:53 +0200,
mouss <mouss@netoyen.net> a écrit :

> Emmanuel Lesouef a écrit :
> > Bonjour,
> > 
> > Je cherche à utiliser les directives AllowUsers et AllowGroups pour
> > sshd.
> > 
> > Première précision, mes users et groupes sont stockés dans LDAP.
> > 
> > A la fin de mon sshd_config, j'ai donc placé :
> > 
> > AllowUsers user1
> > AllowGroups group1
> > 
> > Sachant que user1 appartient à group1.
> > 
> > Le problème est que je ne peux me connecter, du coup, qu'en user1.
> > 
> > Évidemment, j'ai pensé à regarder dans man  sshd_config et y ai vu :
> > 
> > The allow/deny directives are processed in the following order:
> > DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.
> > 
> > Pour moi, user1 est en quelque sorte "l'admin" de la machine et
> > group1 les éventuels suppléants.
> > 
> > Que peut-il bien se passer qui ferait que le AllowGroups group1 ne
> > soit pas évalué ?
> > 
> 
> 
> quan tu utilises Allowxxx, alors tout le reste est rejeté. Dans ta
> config, seul l'utilisateur "user1" peut se connecter, et ce seulement
> s'il est dans le group "group1".
> 
> ce que je fais en général, c'est créér un group "_sshuser", y mets
> tous les utilisateurs qui ont le droit de se connecter en ssh (qu'ils
> soient admins ou pas) et utilise
> AllowGroups _sshuser
> 
> (pas de AllowUsers).
> 

C'est bien ce qui me semblait. Merci pour cette confirmation. Je vais
utiliser des groupes pour me simplifier la tache.

-- 
Emmanuel Lesouef