URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93769
[ Назад ]

Исходное сообщение
"Linux и AD - настройка доступа к хостам"
Отправлено D06PbIU , 05-Сен-12 13:11

Есть четыре Linux серверов (A,B,C,D) в которых аутентификация/авторизация проходит через учетные данные хранящиеся в Active Directory(AD) - (настраивал вот от сюда http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section6...).
Не могу настроить доступ к Linux серверам! То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить...
В AD, в учетной записи пользователя user1 задаю что ему разрешино ходить ТОЛЬКО на сервера А и С, но правило не срабатывает, пользователь по прежнему имеет доступ ко всем (A,B,C,D) серверам...
Как быть и что делать?
Сам вот что думаю:
Для разрешиния доступа к хосту в LDAP используется атрибут host (класса account), а в AD этот атрибут зовется userWorkstations - сопоставления POSIX и AD атрибутов делается в /etc/ldap.conf (centos 5.2) но среди прочих сопоставлений (например: nss_map_attribute homeDirectory unixHomeDirectory) нет нужного мне..((... возможно и заблуждаюсь и это решается другими способами.

Содержание

Linux и AD - настройка доступа к хостам,ALex_hha, 12:20 , 06-Сен-12
- Linux и AD - настройка доступа к хостам,D06PbIU, 15:10 , 06-Сен-12
  - Linux и AD - настройка доступа к хостам,ALex_hha, 15:53 , 06-Сен-12
Linux и AD - настройка доступа к хостам,c0sm0, 10:49 , 27-Мрт-13

Сообщения в этом обсуждении

"Linux и AD - настройка доступа к хостам"
Отправлено ALex_hha , 06-Сен-12 12:20

> То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить...
Что имеется ввиду под словами ходить на сервера?

"Linux и AD - настройка доступа к хостам"
Отправлено D06PbIU , 06-Сен-12 15:10

> Что имеется ввиду под словами ходить на сервера?
Вот что имел ввиду:
Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные из AD.
Вот что делал чтобы ограничить доступ:
В оснастке «Active Directory – пользователи и компьютеры» --> захожу в свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее --> жму кнопку «Вход на...» и указываю сервера (А,С), на которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations) ---> и не срабатывает(!), пользователь все равно может подключаться ко всем серверам - A,B,C,D.

"Linux и AD - настройка доступа к хостам"
Отправлено ALex_hha , 06-Сен-12 15:53

>[оверквотинг удален]
> Вот что имел ввиду:
> Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные
> из AD.
> Вот что делал чтобы ограничить доступ:
> В оснастке «Active Directory – пользователи и компьютеры» --> захожу в
> свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее
> --> жму кнопку «Вход на...» и указываю сервера (А,С), на
> которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations)
> ---> и не срабатывает(!), пользователь все равно может подключаться ко всем
> серверам - A,B,C,D.
думаю что надо смотреть в сторону pam_ldap и group filter

"Linux и AD - настройка доступа к хостам"
Отправлено c0sm0 , 27-Мрт-13 10:49

Добрый день.
Подскажите, была ли решена проблема? Если да, то каким образом?
Столкнулся с подобной. Но авторизация на linux-серверах выполняется без winbind, а с использованием nslcd. Пользователи логинятся по ssh прекрасно, автоматически создаются домашние каталоги. Видны группы пользователей, что позволяет назначать sudo.
Но вот совершенно не получается ограничить доступ пользователей к хостам. Любой пользователь имеющий Unix-атрибуты в AD имеет возможность зайти на любой сервер.