Grupos de ADs do Winbind PAM.D, CentOS 5, Permitir Apenas?

1

Estou tentando criar uma configuração na qual usuários em grupos do AD especificados podem efetuar login. Estou tendo problemas para impedir que todos os usuários do AD efetuem login. Eu tenho feito isso, embora /etc/pam.d/sshd/ , mas seja uma configuração possível através de /etc/pam.d/login ? Não seria essa uma opção mais segura? Eu também não gosto de winbind , e prefiro o método Kerberos + LDAP, mas infelizmente não consigo mudar neste momento. Agradeço qualquer ajuda, já que estou lendo há algum tempo e não encontrei uma direção sólida.

Estes são os arquivos de configuração pam.d atuais,

/etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

/etc/pam.d/login

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    optional     pam_keyinit.so force revoke
session    required     pam_loginuid.so
session    include      system-auth
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open

/etc/pam.d/sshd

#%PAM-1.0
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_1
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_2
account    sufficient   pam_succeed_if.so user ingroup DOMAIN\Group_3
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so
    
por J. M. Becker 10.08.2012 / 16:37

2 respostas

0

O PAM Winbind, é configurado a partir deste arquivo, /etc/security/pam_winbind.conf .

Para restringir o acesso a usuários em grupos especificados, adicione esta linha require_membership_of = [SID],[SID],[SID]

Substitua o [SID] pelo próprio AD User ou Group, SID. Você pode descobrir quais usuários / grupos estão atribuídos a quais SIDs, com este comando. wbinfo -n [NAME]

Substitua [NAME] pelo nome do usuário ou grupo do AD especificado.

No entanto, esta situação winbind inteira não deve existir, como você deve normalmente optar pelo tradicional método Kerberos + LDAP.

    
por 10.08.2012 / 17:39
0

Esta pode ser uma alternativa, mas no seu Windows DC, você pode instalar o Gerenciamento de Identidades para Unix. Então, para cada usuário, você pode clicar com o botão direito > vá para atributos Unix e defina se eles podem fazer login ou não, configurando o shell de login de /bin/shell ou /bin/bash para /bin/false

Você também precisará adicionar uma linha ao arquivo /etc/samba/smb.conf:

winbind nss info = rfc2307

Espero que alguém ache isso útil!

    
por 01.01.2013 / 01:23