форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Изначальное сообщение		[ Отслеживать ]

"Linux и AD - настройка доступа к хостам"	+/–
Сообщение от D06PbIU (ok) on 05-Сен-12, 13:11
Есть четыре Linux серверов (A,B,C,D) в которых аутентификация/авторизация проходит через учетные данные хранящиеся в Active Directory(AD) - (настраивал вот от сюда http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section6...). Не могу настроить доступ к Linux серверам! То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить... В AD, в учетной записи пользователя user1 задаю что ему разрешино ходить ТОЛЬКО на сервера А и С, но правило не срабатывает, пользователь по прежнему имеет доступ ко всем (A,B,C,D) серверам... Как быть и что делать? Сам вот что думаю: Для разрешиния доступа к хосту в LDAP используется атрибут host (класса account), а в AD этот атрибут зовется userWorkstations - сопоставления POSIX и AD атрибутов делается в /etc/ldap.conf (centos 5.2) но среди прочих сопоставлений (например: nss_map_attribute homeDirectory unixHomeDirectory) нет нужного мне..((... возможно и заблуждаюсь и это решается другими способами.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Linux и AD - настройка доступа к хостам"	+/–
Сообщение от ALex_hha (ok) on 06-Сен-12, 12:20
> То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить... Что имеется ввиду под словами ходить на сервера?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Linux и AD - настройка доступа к хостам"	+/–
	Сообщение от D06PbIU (ok) on 06-Сен-12, 15:10
	> Что имеется ввиду под словами ходить на сервера? Вот что имел ввиду: Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные из AD. Вот что делал чтобы ограничить доступ: В оснастке «Active Directory – пользователи и компьютеры» --> захожу в свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее --> жму кнопку «Вход на...» и указываю  сервера (А,С), на которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations) ---> и не срабатывает(!), пользователь все равно может подключаться ко всем серверам - A,B,C,D.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Linux и AD - настройка доступа к хостам"	+/–
	Сообщение от ALex_hha (ok) on 06-Сен-12, 15:53
	>[оверквотинг удален] > Вот что имел ввиду: > Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные > из AD. > Вот что делал чтобы ограничить доступ: > В оснастке «Active Directory – пользователи и компьютеры» --> захожу в > свойства учетной записи пользователя, далее --> Вкладка «Учетная запись», далее > --> жму кнопку «Вход на...» и указываю  сервера (А,С), на > которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations) > ---> и не срабатывает(!), пользователь все равно может подключаться ко всем > серверам - A,B,C,D. думаю что надо смотреть в сторону pam_ldap и group filter
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Linux и AD - настройка доступа к хостам"	+/–
Сообщение от c0sm0 on 27-Мрт-13, 10:49
Добрый день. Подскажите, была ли решена проблема? Если да, то каким образом? Столкнулся с подобной. Но авторизация на linux-серверах выполняется без winbind, а с использованием nslcd. Пользователи логинятся по ssh прекрасно, автоматически создаются домашние каталоги. Видны группы пользователей, что позволяет назначать sudo. Но вот совершенно не получается ограничить доступ пользователей к хостам. Любой пользователь имеющий Unix-атрибуты в AD имеет возможность зайти на любой сервер.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема