Então, achei que meu LDAP estava funcionando perfeitamente, mas hoje fui fazer login e está me autenticando, mas mostrando que sou a conta do administrador local, até quem diz isso, e eu tenho acesso root completo como local conta de usuário faz.
Alguma idéia sobre o que procurar?
Esta é a saída de Logging in as donut, que NÃO é um usuário local, mas fez login antes.
sysadmin@BASICTEMPLATE:~$ whoami
sysadmin
sysadmin@BASICTEMPLATE:~$ pwd
/home/donut
E a saída de tail -f / var / log / auth durante o login como donut
Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: Accepted publickey for donut from 192.168.1.210 port 50472 ssh2: RSA 9c:a7:b6:3c:a8:2d:96:21:e8:d2:47:cb:6f:8f:a0:91
Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: pam_unix(sshd:session): session opened for user donut by (uid=0)
Oct 7 21:01:15 BASICTEMPLATE systemd-logind[471]: New session 4 of user sysadmin.
Configuração do meu cliente:
O cliente e o servidor são Ubuntu Server 14.04
Configuração no cliente:
sudo su
apt-get update
apt-get install -y libpam-ldap nscd ldap-utils python-pip python-ldap libsasl2-dev python-dev libldap2-dev libssl-dev libnss-ldapd
##INSTALL STEPS###
#NOT LDAPI://, LDAP://
ldap://192.168.1.255
dc=freesoftwareservers,dc=com
{group,pass,shadow} (These options may not all show, manually edit /etc/nsswitch.conf if so)
ldap://192.168.1.255
dc=freesoftwareservers,dc=com
3
YES
NO
cn=admin,dc=freesoftwareservers,dc=com
PASSWORD
sed -i -r 's/(.*)(use_authtok)(.*)//g' /etc/pam.d/common-password
grep 'pam_mkhomedir.so' /etc/pam.d/common-session > /dev/null || {
cat >> /etc/pam.d/common-session <<EOF
session required pam_mkhomedir.so skel=/etc/skel umask=0022
EOF
}
sh -c 'echo "tls_reqcert never\nnss_initgroups_ignoreusers ALLLOCAL\nbind_timelimit 3\ntimelimit 3" >> /etc/nslcd.conf'
Editar:
sudo nano /etc/nsswitch.conf
passwd: compat ldap
group: compat ldap
shadow: compat ldap
Ativar pesquisa de chave SSH RSA:
pip install ssh-ldap-pubkey
sh -c 'echo "AuthorizedKeysCommand /usr/local/bin/ssh-ldap-pubkey-wrapper\nAuthorizedKeysCommandUser nobody" >> /etc/ssh/sshd_config' && service ssh restart
Restringir ao grupo ServerAdmins:
sudo sh -c 'echo "auth required pam_access.so" >> /etc/pam.d/common-auth'
sudo sh -c 'echo "- : ALL EXCEPT root (admin) (wheel) (ServerAdmins): ALL EXCEPT LOCAL" >> /etc/security/access.conf'
Conceder acesso ao Sudo ServerAdmins:
sudo visudo
# Members of the LDAP group ServerAdmins may run sudo
%ServerAdmins ALL=(root) ALL
/etc/init.d/nscd restart
Tags security ldap openldap ubuntu-14.04