ssh + pam + radius
Miroslav Prýmek
m.prymek at gmail.com
Tue Jul 13 13:57:29 CEST 2010
On 13.7.2010, at 12:51, Radek Krejča wrote:
> Ahoj,
> Dne 13.7.2010 11:04, Jan Pechanec napsal(a):
>> tim nerikam, ze linuxovy mkhomedir modul funguje na FreeBSD, nikdy
>> jsem to nezkousel.
> mkhomedir mi fungoval na FreeBSD, ověřovalo se oproti OpenLDAP. Ale už
> je to "dlouho" mašina byla tuším 6.x a teď již není v provozu.
>
>
> Na radiusu netrvam, mam jeste ActiveDirectory, takze muzu i proti LDAPU, na to jsem se zatim nekoukal - nicmene zalozit uzivatele je tam jeste jednodussi, nez v radiusu, klidne si to prepisu. Otazkou tedy jde, zda existuje moznost, jak po prihlasovani vytvorit pripadne neexistujici home + omezit uzivatele skupinou (aby se mi tam nehlasil kazdy, kdo je v AD, ale jen vybrana grupa). Mozna by to AD bylo jeste elegantnejsi, nez radius.
>
No tak pokud je k dispozici LDAP, tak neni co resit, na to je tisice navodu :)
>
> Pravdou je, ze na overovani proti LDAPu jsem zatim nekoukal, tam asi bude navodu, doufam, vice, nez se mi podarilo najit pro radius. Kazdopadne cilem hry je najit co nejjednodussi reseni, v tuto chvili zakladam uzivatele scriptem, problem nastava, kdyz nekdo odchazi, nebo meni heslo, apod. Pokud ma byt rozbehnuti centralniho overovani na mesice zkouseni a testovani, odpada tim puvodni zamer a je to pro me v podstate jiz nezajimave.
>
1. pam-ldap a nss-ldap jsou v portech a funguji podle mych zkusenosti bezproblemove
(akorat to asi bude chtit doplnit nejakym cachovanim, treba nscd)
2. pokud by pam-mkhome fungoval i na FBSD outofthebox, je celkem po problemu
3. omezit, kdo z LDAPu se muze prihlasovat pres ssh se da ruznyma zpusobama
- jenom tak ciste z placu me napada, 1] jsou to uzivatele, kteri jsou v nejake
casti LDAP stromu - potom pro pam-ldap nastavit tenhle podstrom jako koren
nebo 2] uzivatele dat do nejake ldapove skupiny a pam-ldapu nastavit filtr,
pres kterej projdou jenom uzivatele v te skupine zarazeni 3] ten samej filtr
dat do konfigurace nss-ldap, takze ti uzivatele se vubec
nezobrazi v getent passwd.
Akorat je teda otazka, jak se bude chovat ssh - jestli on si potvurka jedna treba
neoveruje, jestli existuje uzivateluv home. Jednou jsem na nejakou takovou vec
narazil, ale detaily uz si nepamatuju - mozna slo o to, ze uzivatel mel nastavenej
nejakej shell, kterej se sshcku nelibil a uzivatele proste nepustil. Nebo mozna
to byl ten neexistujici home, to chce zkusit.
M.
More information about the Users-l
mailing list