Posso usar o netgroup em um cliente NIS (Redhat) para restringir o acesso a ele?

Question

Posso usar o netgroup em um cliente NIS (Redhat) para restringir o acesso a ele?

#1 resposta do (2 votos)

1

Nossa empresa tem uma configuração central do NIS que estamos usando para acessar nossos servidores de equipes (Redhat) ...

A configuração atual permite que todos os usuários autenticados do NIS válidos se conectem a nossos servidores. Não podemos atualizar ou alterar algo no NIS Master Server ... então ...

Existe uma maneira de usar netgroups ou alguma outra configuração para permitir que nossos membros de equipe se autentiquem usando o servidor NIS, mas ainda restringem o acesso a todos os outros usuários?

Obrigado!

configuration redhat nis

por sdmythos_gr 08.02.2011 / 14:25

1 resposta

Tags configuration redhat nis

Como posso saber se uma solicitação HTTP está atingindo um cache de proxy? Vinculando um servidor LDAP ao Windows AD como uma solução ACL

score 2 · Accepted Answer

Is there a way to use netgroups or some other configuration to allow our team members to authenticate using the NIS server but still restrict access to all other users?

É por isso que existem netgroups.

A solução mais fácil para fazer o que você deseja é usar a funcionalidade compat de nsswitch.conf . Isso está documentado - breve e mal - em nsswitch.conf(5) :

Interaction with +/- syntax (compat mode)

...In /etc/passwd you could have entries of the form +user or +@netgroup (include the specified user from the NIS passwd map), -user or -@netgroup (exclude the specified user), and + (include every user, except the excluded ones, from the NIS passwd map).

Em termos práticos, isso significa que, se o seu nsswitch.conf for assim:

passwd: compat

E o seu /etc/passwd termina com uma linha como esta:

+@myusers

Em seguida, somente os membros do myusers netgroup poderão se autenticar no sistema.

Você pode realizar algo semelhante usando o módulo pam_listfile em sua configuração do PAM e criando restrições com base na associação de grupo (em vez de netgroup ). Isso é bom se você tiver grupos e netgroups que você está tentando manter em sincronia (porque agora você pode simplesmente usar grupos Unix padrão). Este documento tem um exemplo de restrição de logins para grupos específicos usando pam_listfile .