LINUX.ORG.RU
ФорумAdmin

AD sssd.conf ldap_access_filter

 ,


0

1

Приветствую!

Может кто подскажет, почему игнорируется ldap_access_filter в таком конфиге:

[domain/default]                                                                                                                                                                                                                                                                                                          
enumerate = true                                                                                                                                                       
cache_credentials = true                                                                                                                                                                                                                                                                                         
                                                                                                                                                                       
id_provider = ldap                                                                                                                                                     
auth_provider = krb5                                                                                                                                                   
chpass_provider = krb5                                                                                                                                                 
access_provider = ldap                                                                                                                                                                                                                                                                                  
                                                                  
ldap_access_filter = mebberOf=cn=group002,ou=Tests,ou=Groups,ou=Center,dc=pass,dc=local                                                                    
                                                                                                                     
ldap_search_base = dc=pass,dc=local                                                                                                                                
#ldap_access_filter = cn=group002                                                                                                                                      
#ldap_access_filter = &(uidNumber>=400001)(uidNumber<=400002)                                                                                                          
ldap_access_order = filter                                                                                                                                             
ldap_sasl_mech = GSSAPI                                                                                                                                                
ldap_sasl_authid = host/test.pass.local@PASS.LOCAL                                                                                                    
ldap_schema = rfc2307bis                                                                                                                                              
                                                                                                                                                  
debug_level = 9                                                                                                                                                        
ldap_user_object_class = user                                                                                                                                          
ldap_user_home_directory = unixHomeDirectory                                                                                                                           
ldap_user_principal = userPrincipalName                                                                                                                                
ldap_user_name = sAMAccountName  

ldap_group_object_class = group                                                                                                                                        
                                                                                                                                                                       
ldap_access_order = expire                                                                                                                                             
ldap_account_expire_policy = ad                                                                                                                                        
ldap_force_upper_case_realm = True                                                                                                                                     
krb5_realm = PASS.LOCAL                                                                                                                                            
                                                                                                                                                                       
[sssd]                                                                                                                                                                 
services = nss, pam                                                                                                                                                    
config_file_version = 2                                                                                                                                                
domains = default                                                                                                                                                      
debug_level = 9                                                                                                                                                        
                                                                                                                                                                       
[nss]                                                                                                                                                                  
                                                                                                                                                                       
[pam]


Последнее исправление: kdo (всего исправлений: 2)
Реконструкция сети, переезд с MS DNS на BIND9
изменение заголовка
Ответ на: комментарий от anonymous

Если это про sshd.conf, то это уже сделал. Теперь хочется иметь возможность отфильтровывать и по группам без UNIX Attributes...

kdo
() автор топика
Ответ на: комментарий от kdo

Логи смотрел? есть что-то типа такого 

(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_access_filter_send] (0x0400): Performing access filter check for user [usertest]
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_access_filter_send] (0x0400): Checking filter against LDAP
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_id_op_connect_step] (0x4000): reusing cached connection
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(sAMAccountName=usertest)(objectclass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=SRVWE031,OU=UNIX Hosts,OU=Access groups,DC=DOMAIN,DC=RU))][CN=User\, Test,OU=Office Users,OU=User Accounts,OU=Accounts,DC=DOMAIN,DC=RU].
...
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_get_generic_ext_done] (0x0400): Search result: Success(0), no errmsg set
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_id_op_done] (0x4000): releasing operation connection
(Tue Mar 11 16:00:01 2014) [sssd[be[DOMAIN]]] [sdap_access_filter_get_access_done] (0x0400): Access granted by online lookup
user_undefined
()
Ответ на: комментарий от user_undefined

grep access_filter и search_ext:

(Tue Mar 11 15:48:13 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_access_filter has value memberOf=CN=group002,OU=Tests,OU=Groups,OU=Center,DC=pass,DC=local

(Tue Mar 11 15:44:07 2014) [sssd[be[default]]] [sdap_get_generic_ext_step] (0x2000): ldap_search_ext called, msgid = 1 
(Tue Mar 11 15:45:39 2014) [sssd[be[default]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(objectclass=*)][]. 
(Tue Mar 11 15:45:39 2014) [sssd[be[default]]] [sdap_get_generic_ext_step] (0x2000): ldap_search_ext called, msgid = 1
kdo
() автор топика
Ответ на: комментарий от kdo

в том, что ты показал из логов, нет вообще упоминания о том, что он пытается проверить по фильтру. Смотри все, что пишет ssd начиная с попытки залогиниться пользователем. 

ldap_access_order = filter    
ldap_access_order = expire
оно нормально работает, если два раза определить? не удивлюсь, если используется именно expire

user_undefined
()
Ответ на: комментарий от user_undefined

да, пропустил...

убрал expire, теперь pam_sss(sshd:account): Access denied for user (Permission denied)

kdo
() автор топика
Ответ на: комментарий от user_undefined

Вот что теперь в логах:

(Wed Mar 12 10:01:22 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_user_search_filter has no value 
(Wed Mar 12 10:01:22 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_group_search_filter has no value 
(Wed Mar 12 10:01:22 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_sudo_use_host_filter is TRUE
(Wed Mar 12 10:01:22 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_access_filter has value &(uidNumber>=400001)(uidNumber<=400002)
(Wed Mar 12 10:01:22 2014) [sssd[be[default]]] [dp_get_options] (0x0400): Option ldap_access_order has value filter
(Wed Mar 12 10:01:32 2014) [sssd[be[default]]] [sysdb_search_users] (0x2000): Search users with filter: (&(objectclass=user)(&(!(dataExpireTimestamp=0))(dataExpireTimestamp<=1394604092)(!(lastLogin=*))))
(Wed Mar 12 10:01:32 2014) [sssd[be[default]]] [sysdb_search_groups] (0x2000): Search groups with filter: (&(objectclass=group)(&(!(dataExpireTimestamp=0))(dataExpireTimestamp<=1394604092)))
(Wed Mar 12 10:01:48 2014) [sssd[be[default]]] [sdap_access_filter_send] (0x0400): Performing access filter check for user [user12]
(Wed Mar 12 10:01:48 2014) [sssd[be[default]]] [sdap_access_filter_decide_offline] (0x0400): Access denied by cached credentials

Пользователей не пускает, Search users/group with filter появились...

kdo
() автор топика
Ответ на: комментарий от user_undefined

Чистил sss_cache -UG без результата.

Нашел в исходниках 


{
    struct sdap_access_filter_req_ctx *state =
            tevent_req_data(req, struct sdap_access_filter_req_ctx);

    if (state->cached_access) {
        DEBUG(6, ("Access granted by cached credentials\n"));
        state->pam_status = PAM_SUCCESS;
    } else {
        DEBUG(6, ("Access denied by cached credentials\n"));
        state->pam_status = PAM_PERM_DENIED;
    }
}
[\code]
Может в PAMе дело, но без фильтра-то работает...

kdo
() автор топика
Ответ на: комментарий от kdo

После перезагрузки сервера - заработало) Всем спасибо!

kdo
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Реконструкция сети, переезд с MS DNS на BIND9
Admin
изменение заголовка