Se connecter / S'enregistrer
Votre question

[Résolu]Session openldap

Tags :
  • Serveur
  • Internet
Dernière réponse : dans Internet
16 Septembre 2010 17:00:01

Bonjour,

J'ai mis en place un serveur OpenLdap sous CentOS avec un serveur samba. Tout ce passe bien tous mes users peuvent se connecter etc ...
Cependant je souhaiterais également baser l'authentification de mes serveurs sur cet annuaire LDAP. J'ai fais la meme config que pour mes postes sauf que, si un des mes users essaye de se connecter sur un des mes serveurs il pourra (pas cool).

Donc sur ma config faites sur mon serveur comment puis-je limiter l'acces à certains users (les admins).

Je suppose que ma solution ce trouve dans /etc/ldap

Ici tous mes users ont accés aux serveurs si ils tapent leurs login et mdp :

nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one

Ensuite dans phpldapadmin dans Domain Admins à UidMembers j'ai entré les noms de mes admins (admin1, admin2 etc ...) mais comment le spécifié dans /etc/ldap ?

J'ai essayé ça mais ça ne fonctionne pas :
nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group cn=Domain Admins,ou=Group,dc=domain,dc=com?one

Je cherche, je cherche je ne trouve pas.

Merci pour votre aide.

Autres pages sur : resolu session openldap

16 Septembre 2010 23:58:28

salut, je n'ai jamais utiliser openldap sur mon ordinateur, mais par contre mes utilisateur de samba son gerer par le programme de gestion des compte de linux lui meme. il est vrai qu'il est plus professionel d'utiliser openldap, mais as tu consulter le "man" , parfois si tu prend le temps de lire il peut t'expliquer ce que tu cherche.
m
0
l
17 Septembre 2010 08:44:22

Non il est vrai que je ne l'ai pas lu. Je vais le faire. Mais je trouve ça bizarre quand meme. Soit tout le monde a accès aux serveurs juste avec leurs identifiants et mdp soit personne n'y a accès. Je n'ai pas envie de créer plusieurs compte en internet sur les machines car voilà quand il faut changer les mdp il me faudra le faire sur tous les serveurs.
m
0
l
Contenus similaires
17 Septembre 2010 10:45:34

Trouvé enfin en partie. Il faut pour cela ajouter l'attribut "host" qui fait partie du schéma Account. Il faut donc dans les ObjectClass mettre Account.
Cependant je ne peux pas mettre l'ObjectClasse Account. Par contre je sais qu'il est présent je le vois dans mes schéma je suppose qu'il y a un ordre à respecter.

Les schéma de mes clients :

top
person
organizationalPerson
inetOrgPerson
posixAccount
shadowAccount
sambaSamAccount

Et sur le net j'ai vu ça comme schéma pour les users :

objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount

top ne doit pas etre en premier normalement ?

Merci
m
0
l
17 Septembre 2010 17:53:01

salut, et bien je pensse qu'il doit y avoire un parametre pour ceci, etant donner que tu peut autoriser ou non des ordinateur tu poura autoriser ou nom des users,

dans la doc de open ldap sur leur site j'ai trouver ca dans les exemples:

olcAccess: to attrs=userPassword
34. by self write
35. by anonymous auth
36. by dn.base="cn=Admin,dc=example,dc=com" write
37. by * none


peut etre ce bout de code t'aidera, apparement cherche pres de olcaccess, car selon eux:

si olcAccess n'est pas declarer, alors les autorisation ouverte pour tout le monde ou quelque chose comme ca.

bon courage !!
m
0
l
22 Septembre 2010 09:36:32

Ok je vais voir ça. Sinon je vais tester de contourner mon probléme. Dans ldap.conf sur mes clients je vais leur demander de regarder les personnes autorisées dans une autre OU où il y aura spécialement mes utilisateurs autorisés.
m
0
l
22 Septembre 2010 11:03:14

En faite je suis sur un client ldap. Le serveur lui est bien configuré. Donc j'ai testé ma petite idée. J'ai une OU qui été déjà créée (ldmap) et j'ai décider dans cette OU de copier certains users pour voir si ça fonctionne. Ensuite dans le fichier ldap.conf je l'ai modifié comme ceci.

nss_base_passwd ou=ldmap,dc=domain,dc=com?one
nss_base_shadow ou=ldmap,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one

Mais ça ne fonctionne pas, il me dit " l'usager toto n'existe pas"
Et dès que je remet People à la place de ldmap ça fonctionne.

Mais pourquoi ?
m
0
l
22 Septembre 2010 11:18:24

Au lieu de mettre mes users dans ldmap j'ai recréée une OU administrateurs et là tout fonctionne.
m
0
l
22 Septembre 2010 17:07:55

Bingo pour faire mieux sans créer une nouvelle OU il faut simplement créer un groupe dans OU=Group et non pas utiliser un groupe existant. Il faut bien en créer un nouveau. Ensuite une fois qu'on a créé ce groupe il faut lui mettre un GUID. Puis avec ce GUID nous allonrs le mettre dans le GUID du membre à inscrire dans ce groupe mais aussi dans sambaPrimaryGroupSID à la fin les derniers chiffre. Puis dans notre nouveau groupe nous ajoutons également l'attribut member uid pour y mettre le nom de notre utilisateur.

Voilà, voilà si ça peut aider quelqu'un par la suite ou meme me corriger si il y a d'autre possiblités.
m
0
l
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS