Eu tenho um determinado servidor LDAP que eu quero usar para autenticação de usuário no meu servidor Red Hat Enterprise Linux 5.8. Eu tenho a conexão para o servidor LDAP funcionando e eu sou capaz de entrar para o servidor Linux pelo usuário LDAP "username".
Agora, quero que apenas usuários de um grupo LDAP possam fazer login no meu servidor RHEL. Eu tentei fazer isso configurando o seguinte em /etc/ldap.conf
:
pam_groupdn cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=sbb,dc=CH
pam_member_attribute AppRoles
Quando tento fazer o login depois de configurar isso, recebo a seguinte mensagem:
"You must be a AppRoles of cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=sbb,dc=CH".
Mas quando eu navego pelo servidor LDAP, vejo que o usuário faz parte deste grupo:
# ldapsearch -h ldapi.company.ch -D cn=binduser,ou=Administrators,dc=company,dc=CH -w bindpw -b dc=company,dc=ch -x "(cn=username)" AppRoles
companyAppRoles: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH
As solicitações e respostas são assim no Wireshark (descartadas pelo tcpdump no Linux-Server):
Solicitação (do Wireshark Dump):
LDAPMessage compareRequest(5) "cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH"
messageID: 5
protocolOp: compareRequest (14)
compareRequest
entry: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH
ava
attributeDesc: AppRoles
assertionValue: cn=username,ou=OU,dc=company,dc=CH
Resposta (do Wireshark Dump):
LDAPMessage compareResponse(5) noSuchObject ([DSA]:No such object:cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH)
messageID: 5
protocolOp: compareResponse (15)
compareResponse
resultCode: noSuchObject (32)
matchedDN: ou=Applications,dc=company,dc=CH
errorMessage: [DSA]:No such object:cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH
Assim, o administrador do LDAP disse que eu deveria tentar alterar o "assertionValue" para "cn = nome de usuário" apenas.
Alguém tem uma idéia de como alterar esse valor? Ou existem outras opções para restringir o acesso ao meu servidor para os usuários de um grupo LDAP?