J'ai des boîtes Linux qui utilisent l'authentification Windows Active Directory, qui fonctionne simplement bien (Samba + Winbind).
Ce que j'aimerais faire maintenant, c'est seulement permettre à certaines personnes ou certains groupes de se connecter en utilisant des informations d'identification Active Directory. Actuellement, toute personne avec un compte d'annonce valide peut se connecter. Je veux limiter cela à quelques groupes. Est-ce faisable?
En supposant que les groupes soient disponibles sur le système Linux, je vous recommande d'éditer /etc/security/access.conf
pour Ubuntu, redhat distributions (et leurs fourches) et probablement un tas d'autres. Cela ne nécessite pas d'édition de fichiers PAM et est un endroit bien standard pour le faire. Il existe généralement des exemples dans le fichier, commentés.
J'utilise actuellement la directive AllowGroups
dans /etc/ssh/sshd_config
Pour limiter qui est capable de se connecter. Spécifiez un ou plusieurs groupes d'annonces sur cette ligne, et ces personnes seront les seules capables de se connecter.
N'oubliez pas que cela ne fonctionne que si vos utilisateurs sont seulement Accéder au serveur à distance via SSH. S'ils chantent à localement, vous devrez trouver une autre solution.
Oui, il y a quelques façons de le faire en fonction de ce que vous essayez d'accomplir exactement.
La première méthode peut être effectuée via la configuration Samba. Cela permettra uniquement à ces utilisateurs de se connecter à Samba, d'autres utilisateurs peuvent toujours se connecter à travers d'autres services (SSH, terme local, etc.). Avec cela, vous voudrez ajouter une ligne à votre section [globale] dans smb.conf:
valid users = @groupA @groupB
L'autre méthode consiste à modifier les règles de PAM. Différentes distributions ont de légères différences ici, mais de manière générale, il existe des règles de PAM par service ainsi que des règles communes, vous pouvez décider de ce qui est le meilleur. Vous voudrez ajouter une restriction de compte à l'aide du module PAM_REQUIRE. Un exemple sur mon ordinateur portable (Fedora 13) serait de modifier la section de compte dans /etc/pam.d/system-auth pour:
account required pam_unix.so
account required pam_require.so @groupA @groupB
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
Pour simplifier l'administration, vous souhaiterez peut-être créer un nouveau groupe dans AD dans le but de suivre les utilisateurs pouvant vous connecter à ce serveur.
J'ai eu du mal à obtenir l'un de ce qui précède pour travailler pour moi dans Rhel 7. Ci-dessous, c'est ce que j'ai pu me rendre au travail.
/etc/sssd/sssd.conf
Changer access_provider = ad
Sur access_provider = simple
+ simple_allow_groups = @[email protected], @[email protected]
%[email protected] ALL=(ALL) ALL
redémarrez le service SSSD.