аккаунты от ldap а пароли локально на машине

authentication, authorization, openldap, users, пароли

0

1

как организовать на сервере проверку/получение учетных записей пользователей через ldap, а пароли хранить и создавать локально на сервере. ldap раздает только учетные записи, без паролей. ldap организован через sss. но это уже детали.

Ссылка

←	Поделитесь решениями размещения ddos-proof фронт-эндов

Проблема с openvpn

→

По идее, не прописывать в /etc/nsswitch.conf в базе shadow источник ldap, но как это будет работать смотрите сами.

mky ★★★★★
(25.07.16 22:42:34 MSK)

Ответ на: комментарий от mky 25.07.16 22:42:34 MSK

да я вот тоже в этом направлении подумал, но не работает. а вот проблема ли здесь. есть еще pam.

Wien_Lynx
(26.07.16 13:53:36 MSK) автор топика

Непонятно, зачем всё это. Соответствие логин-пароль в такой ситуации придётся хранить локально. Что именно ты хочешь получать из ldap?

И зачем вообще такое понадобилось.

Ivan_qrt ★★★★★
(26.07.16 14:01:21 MSK)

Ответ на: комментарий от Wien_Lynx 26.07.16 13:53:36 MSK

Если используется sss, то источником в nsswitch будет он. Если не нужен офлайн логин, то можешь его убрать и делать руками.

Ivan_qrt ★★★★★
(26.07.16 14:04:04 MSK)

Ссылка

Ответ на: комментарий от Ivan_qrt 26.07.16 14:01:21 MSK

зачем? требование от заказчика. сейчас у них работает так: учетные записи пользователей через ldap, а аутентификация по керберос. а вот на этой тестовой машине нужно без керберос, а через shadow. причем на ней уже стоит sss.

после добавления пароля пользователя в shadow и удаления sss для shadow в nsswitch все-равно в логах Permission denied & Failad password for user. вообщем я уже заблудился в этом sss, pam и т.д.

Wien_Lynx
(26.07.16 15:31:17 MSK) автор топика

Ответ на: комментарий от Wien_Lynx 26.07.16 15:31:17 MSK

а вот на этой тестовой машине нужно без керберос, а через shadow.

Точно через shadow? Простой бинд по ldaps не пойдёт?

Пароли в shadow откуда должны браться? Забиваться руками/скриптом, или при первом логине браться из ldap и потом сохраняться в shadow? Ещё какая-то информация из ldap'а нужна? Может хватит простой синхронизации учёток с ldap'ом по крону?

Если первое и в ldap нужно проверять только существование учётки/статус, то можно сделать примерно так:

Удаляешь на хрен всё, что связано с ldap из nsswitch и из sssd.
Пишешь pam-модуль, проверяющий учётку во ldap.
Подключаешь этот pam-модуль в pam.d.

В любом случае придётся писать либо sss-плагин, либо pam.

Распиши подробно, как всё должно работать в итоге.

Ivan_qrt ★★★★★
(26.07.16 17:30:52 MSK)

Ссылка

Ответ на: комментарий от Wien_Lynx 26.07.16 15:31:17 MSK

А пользователи из ldap вытаскиваются, например, команда id работает?

А вобще, такая задача, походу, будет связана с ковырянием в исходниках всяких утилит и библиотек, чтобы понять как на самом деле идёт авторизация и нужно ли писать свой pam-модуль...

Требование заказчика очень странное и маловероятно что кто-нибудь здесь делал такое, чтобы дать готовое решение.

mky ★★★★★
(27.07.16 23:57:17 MSK)

Ответ на: комментарий от mky 27.07.16 23:57:17 MSK

В PAM закомментировать sss в фазе проверки пароля и не сношать моск.

~~no-dashi~~ ★★★★★
(28.07.16 10:29:11 MSK)

Ответ на: комментарий от mky 27.07.16 23:57:17 MSK

id работает,ldap работает.

в общем решили оставить пароли по kerberos.

играться дальше в этом направлении пока нету возможности.

так что всем спасибо.

Wien_Lynx
(28.07.16 17:58:04 MSK) автор топика

Ссылка

Ответ на: комментарий от no-dashi 28.07.16 10:29:11 MSK

это я пробовал. но если это рабочий вариант, значит где-то промахнулся раз не пошло.

Wien_Lynx
(28.07.16 17:59:37 MSK) автор топика

Ссылка

man ldap

~~moshnii~~
(28.07.16 18:05:44 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Поделитесь решениями размещения ddos-proof фронт-эндов

Admin

Проблема с openvpn

→

Похожие темы