web-dev-qa-db-fra.com

Linux + Authentification Active Directory + Laisser seulement certains groupes se connecter

J'ai des boîtes Linux qui utilisent l'authentification Windows Active Directory, qui fonctionne simplement bien (Samba + Winbind).

Ce que j'aimerais faire maintenant, c'est seulement permettre à certaines personnes ou certains groupes de se connecter en utilisant des informations d'identification Active Directory. Actuellement, toute personne avec un compte d'annonce valide peut se connecter. Je veux limiter cela à quelques groupes. Est-ce faisable?

14
Luma

En supposant que les groupes soient disponibles sur le système Linux, je vous recommande d'éditer /etc/security/access.conf pour Ubuntu, redhat distributions (et leurs fourches) et probablement un tas d'autres. Cela ne nécessite pas d'édition de fichiers PAM et est un endroit bien standard pour le faire. Il existe généralement des exemples dans le fichier, commentés.

6
Slartibartfast

J'utilise actuellement la directive AllowGroups dans /etc/ssh/sshd_config Pour limiter qui est capable de se connecter. Spécifiez un ou plusieurs groupes d'annonces sur cette ligne, et ces personnes seront les seules capables de se connecter.

N'oubliez pas que cela ne fonctionne que si vos utilisateurs sont seulement Accéder au serveur à distance via SSH. S'ils chantent à localement, vous devrez trouver une autre solution.

3
EEAA

Oui, il y a quelques façons de le faire en fonction de ce que vous essayez d'accomplir exactement.

La première méthode peut être effectuée via la configuration Samba. Cela permettra uniquement à ces utilisateurs de se connecter à Samba, d'autres utilisateurs peuvent toujours se connecter à travers d'autres services (SSH, terme local, etc.). Avec cela, vous voudrez ajouter une ligne à votre section [globale] dans smb.conf:

valid users = @groupA @groupB

L'autre méthode consiste à modifier les règles de PAM. Différentes distributions ont de légères différences ici, mais de manière générale, il existe des règles de PAM par service ainsi que des règles communes, vous pouvez décider de ce qui est le meilleur. Vous voudrez ajouter une restriction de compte à l'aide du module PAM_REQUIRE. Un exemple sur mon ordinateur portable (Fedora 13) serait de modifier la section de compte dans /etc/pam.d/system-auth pour:

account     required      pam_unix.so
account     required      pam_require.so @groupA @groupB
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

Pour simplifier l'administration, vous souhaiterez peut-être créer un nouveau groupe dans AD dans le but de suivre les utilisateurs pouvant vous connecter à ce serveur.

3
Ryan Bair

J'ai eu du mal à obtenir l'un de ce qui précède pour travailler pour moi dans Rhel 7. Ci-dessous, c'est ce que j'ai pu me rendre au travail.

/etc/sssd/sssd.conf

Changer access_provider = ad Sur access_provider = simple + simple_allow_groups = @[email protected], @[email protected]

visuo

redémarrez le service SSSD.

1
Adam S