[Résolu]Session openldap
Dernière réponse : dans Connexions réseau et internet
Bonjour,
J'ai mis en place un serveur OpenLdap sous CentOS avec un serveur samba. Tout ce passe bien tous mes users peuvent se connecter etc ...
Cependant je souhaiterais également baser l'authentification de mes serveurs sur cet annuaire LDAP. J'ai fais la meme config que pour mes postes sauf que, si un des mes users essaye de se connecter sur un des mes serveurs il pourra (pas cool).
Donc sur ma config faites sur mon serveur comment puis-je limiter l'acces à certains users (les admins).
Je suppose que ma solution ce trouve dans /etc/ldap
Ici tous mes users ont accés aux serveurs si ils tapent leurs login et mdp :
nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one
Ensuite dans phpldapadmin dans Domain Admins à UidMembers j'ai entré les noms de mes admins (admin1, admin2 etc ...) mais comment le spécifié dans /etc/ldap ?
J'ai essayé ça mais ça ne fonctionne pas :
nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group cn=Domain Admins,ou=Group,dc=domain,dc=com?one
Je cherche, je cherche je ne trouve pas.
Merci pour votre aide.
J'ai mis en place un serveur OpenLdap sous CentOS avec un serveur samba. Tout ce passe bien tous mes users peuvent se connecter etc ...
Cependant je souhaiterais également baser l'authentification de mes serveurs sur cet annuaire LDAP. J'ai fais la meme config que pour mes postes sauf que, si un des mes users essaye de se connecter sur un des mes serveurs il pourra (pas cool).
Donc sur ma config faites sur mon serveur comment puis-je limiter l'acces à certains users (les admins).
Je suppose que ma solution ce trouve dans /etc/ldap
Ici tous mes users ont accés aux serveurs si ils tapent leurs login et mdp :
nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one
Ensuite dans phpldapadmin dans Domain Admins à UidMembers j'ai entré les noms de mes admins (admin1, admin2 etc ...) mais comment le spécifié dans /etc/ldap ?
J'ai essayé ça mais ça ne fonctionne pas :
nss_base_passwd ou=People,dc=domain,dc=com?one
nss_base_shadow ou=People,dc=domain,dc=com?one
nss_base_group cn=Domain Admins,ou=Group,dc=domain,dc=com?one
Je cherche, je cherche je ne trouve pas.
Merci pour votre aide.
Autres pages sur : resolu session openldap
Lassé par la pub ? Créez un compte
salut, je n'ai jamais utiliser openldap sur mon ordinateur, mais par contre mes utilisateur de samba son gerer par le programme de gestion des compte de linux lui meme. il est vrai qu'il est plus professionel d'utiliser openldap, mais as tu consulter le "man" , parfois si tu prend le temps de lire il peut t'expliquer ce que tu cherche.
Non il est vrai que je ne l'ai pas lu. Je vais le faire. Mais je trouve ça bizarre quand meme. Soit tout le monde a accès aux serveurs juste avec leurs identifiants et mdp soit personne n'y a accès. Je n'ai pas envie de créer plusieurs compte en internet sur les machines car voilà quand il faut changer les mdp il me faudra le faire sur tous les serveurs.
J'ai trouvé un vieux sujet qui traite de mon probléme ici : http://forum.hardware.fr/hfr/OSAlternatifs/reseaux-secu...
Mais je ne vois pas comment le configurer car déjà tous mes users peuvent se connecter aux serveurs, donc comment spécifier certains users ?
Mais je ne vois pas comment le configurer car déjà tous mes users peuvent se connecter aux serveurs, donc comment spécifier certains users ?
Trouvé enfin en partie. Il faut pour cela ajouter l'attribut "host" qui fait partie du schéma Account. Il faut donc dans les ObjectClass mettre Account.
Cependant je ne peux pas mettre l'ObjectClasse Account. Par contre je sais qu'il est présent je le vois dans mes schéma je suppose qu'il y a un ordre à respecter.
Les schéma de mes clients :
top
person
organizationalPerson
inetOrgPerson
posixAccount
shadowAccount
sambaSamAccount
Et sur le net j'ai vu ça comme schéma pour les users :
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
top ne doit pas etre en premier normalement ?
Merci
Cependant je ne peux pas mettre l'ObjectClasse Account. Par contre je sais qu'il est présent je le vois dans mes schéma je suppose qu'il y a un ordre à respecter.
Les schéma de mes clients :
top
person
organizationalPerson
inetOrgPerson
posixAccount
shadowAccount
sambaSamAccount
Et sur le net j'ai vu ça comme schéma pour les users :
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
top ne doit pas etre en premier normalement ?
Merci
salut, et bien je pensse qu'il doit y avoire un parametre pour ceci, etant donner que tu peut autoriser ou non des ordinateur tu poura autoriser ou nom des users,
dans la doc de open ldap sur leur site j'ai trouver ca dans les exemples:
olcAccess: to attrs=userPassword
34. by self write
35. by anonymous auth
36. by dn.base="cn=Admin,dc=example,dc=com" write
37. by * none
peut etre ce bout de code t'aidera, apparement cherche pres de olcaccess, car selon eux:
si olcAccess n'est pas declarer, alors les autorisation ouverte pour tout le monde ou quelque chose comme ca.
bon courage !!
dans la doc de open ldap sur leur site j'ai trouver ca dans les exemples:
olcAccess: to attrs=userPassword
34. by self write
35. by anonymous auth
36. by dn.base="cn=Admin,dc=example,dc=com" write
37. by * none
peut etre ce bout de code t'aidera, apparement cherche pres de olcaccess, car selon eux:
si olcAccess n'est pas declarer, alors les autorisation ouverte pour tout le monde ou quelque chose comme ca.
bon courage !!
En faite je suis sur un client ldap. Le serveur lui est bien configuré. Donc j'ai testé ma petite idée. J'ai une OU qui été déjà créée (ldmap) et j'ai décider dans cette OU de copier certains users pour voir si ça fonctionne. Ensuite dans le fichier ldap.conf je l'ai modifié comme ceci.
nss_base_passwd ou=ldmap,dc=domain,dc=com?one
nss_base_shadow ou=ldmap,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one
Mais ça ne fonctionne pas, il me dit " l'usager toto n'existe pas"
Et dès que je remet People à la place de ldmap ça fonctionne.
Mais pourquoi ?
nss_base_passwd ou=ldmap,dc=domain,dc=com?one
nss_base_shadow ou=ldmap,dc=domain,dc=com?one
nss_base_group ou=Group,dc=domain,dc=com?one
Mais ça ne fonctionne pas, il me dit " l'usager toto n'existe pas"
Et dès que je remet People à la place de ldmap ça fonctionne.
Mais pourquoi ?
Bingo pour faire mieux sans créer une nouvelle OU il faut simplement créer un groupe dans OU=Group et non pas utiliser un groupe existant. Il faut bien en créer un nouveau. Ensuite une fois qu'on a créé ce groupe il faut lui mettre un GUID. Puis avec ce GUID nous allonrs le mettre dans le GUID du membre à inscrire dans ce groupe mais aussi dans sambaPrimaryGroupSID à la fin les derniers chiffre. Puis dans notre nouveau groupe nous ajoutons également l'attribut member uid pour y mettre le nom de notre utilisateur.
Voilà, voilà si ça peut aider quelqu'un par la suite ou meme me corriger si il y a d'autre possiblités.
Voilà, voilà si ça peut aider quelqu'un par la suite ou meme me corriger si il y a d'autre possiblités.
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumFichiers disque dur freebox hd serveur ftp
- ForumServeur apache faut il installer iis
- ForumInstaller un serveur radius linux
- ForumCréer un serveur réseau
- ForumServeur dhcp et controleur de domaine
- ForumServeur dns nom de domaine
- ForumServeur smtp meditel et domaine ma
- ForumServeur domaine windows samba
- ForumConfiguration bind serveur dns
- ForumAcceder a mon serveur wamp depuis internet
- Voir plus
