RHEL 5.8 Personalização LDAP pam_groupdn

1

Eu tenho um determinado servidor LDAP que eu quero usar para autenticação de usuário no meu servidor Red Hat Enterprise Linux 5.8. Eu tenho a conexão para o servidor LDAP funcionando e eu sou capaz de entrar para o servidor Linux pelo usuário LDAP "username".

Agora, quero que apenas usuários de um grupo LDAP possam fazer login no meu servidor RHEL. Eu tentei fazer isso configurando o seguinte em /etc/ldap.conf :

pam_groupdn cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=sbb,dc=CH
pam_member_attribute AppRoles

Quando tento fazer o login depois de configurar isso, recebo a seguinte mensagem:

"You must be a AppRoles of cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=sbb,dc=CH".

Mas quando eu navego pelo servidor LDAP, vejo que o usuário faz parte deste grupo:

# ldapsearch -h ldapi.company.ch -D cn=binduser,ou=Administrators,dc=company,dc=CH -w bindpw -b dc=company,dc=ch -x "(cn=username)" AppRoles
companyAppRoles: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH

As solicitações e respostas são assim no Wireshark (descartadas pelo tcpdump no Linux-Server):

Solicitação (do Wireshark Dump):

 LDAPMessage compareRequest(5) "cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH"
 messageID: 5
 protocolOp: compareRequest (14)
  compareRequest
   entry: cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH
   ava
    attributeDesc: AppRoles
    assertionValue: cn=username,ou=OU,dc=company,dc=CH

Resposta (do Wireshark Dump):

LDAPMessage compareResponse(5) noSuchObject ([DSA]:No such object:cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH)
 messageID: 5
 protocolOp: compareResponse (15)
  compareResponse
   resultCode: noSuchObject (32)
   matchedDN: ou=Applications,dc=company,dc=CH
   errorMessage: [DSA]:No such object:cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH

Assim, o administrador do LDAP disse que eu deveria tentar alterar o "assertionValue" para "cn = nome de usuário" apenas.

Alguém tem uma idéia de como alterar esse valor? Ou existem outras opções para restringir o acesso ao meu servidor para os usuários de um grupo LDAP?

    
por rimshot 31.01.2013 / 18:30

1 resposta

0

Consegui resolver o problema definindo o pam_filter em /etc/ldap.conf :

# Filter to AND with uid=%s
pam_filter AppRoles=cn=RW,ou=ApplRoles,ou=App,ou=Applications,dc=company,dc=CH

A senha só será transmitida para o servidor LDAP como um novo bindRequest, se o filtro do usuário e o pam_filter retornarem atributos. Portanto, o usuário precisa estar nesse grupo para poder verificar as credenciais.

    
por 01.02.2013 / 11:57