unbreakablex
Lt. Junior Grade
- Registriert
- Nov. 2007
- Beiträge
- 336
Hallo Leute,
ich hätte mal ein Problem, wie aus dem Titel zu entnehmen, mit OpenLDAP in Verbindung mit GOSA². Und zwar ist mein Ziel relativ simpel und ich bin mir auch sicher dass die Umsetzung möglich ist.
Über das Gosa-Webinterface sollen Benutzer angelegt werden, die Zugriff auf bestimmte und vorher definierte Linuxserver haben. Dazu nutzt man das Gosa-Plugin "Systems". Die angelegten Systeme werden dann als Attribut ("accessTo") im Benutzerobjekt gespeichert.
Mein Problem ist das ich nicht weiß wie genau der Filter für PAM aussehen muss und in welcher Konfigurationsdatei dieser zu platzieren ist. Nach ein wenig Recherche habe ich bereits einige Vorschläge gefunden aber keiner von diesen führte bei mir zum Erfolg.
Der Benutzer kann sich immer anmelden auch wenn das accessTo Attribut nicht den entsprechenden Servernamen enthält.
Genau das soll natürlich nicht passieren. Ich weiß das mit PAM die Möglichkeit besteht das "Host" Attribut abzufragen aber das kann ich aufgrund von Objektklassen Inkompatibilitäten nicht nutzen.
In der /etc/pam_ldap.conf habe ich bereits folgende Varianten versucht:
pam_filter |(&(accessTo=$HOSTNAME)(trustModel=byhost))(trustModel=fullaccess)
pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=$HOSTNAME)
pam_filter objectclass=posixAccount)(|(trustModel=byhost)(accessto=$HOSTNAME)
Es liegt defintiv nicht am Servernamen. Diesen hatte ich auch schon direkt eingegeben.
Hat jemand von euch eventuell ein ähnliches System im produktiven Betrieb?
Ich nutze zur Zeit Debian Wheezy und die entsprechenden Pakete (slapd, libpam-ldap, libnss-ldap, ldap-utils, gosa) aus den Repositories.
Vielen Dank und Grüße,
Jan
ich hätte mal ein Problem, wie aus dem Titel zu entnehmen, mit OpenLDAP in Verbindung mit GOSA². Und zwar ist mein Ziel relativ simpel und ich bin mir auch sicher dass die Umsetzung möglich ist.
Über das Gosa-Webinterface sollen Benutzer angelegt werden, die Zugriff auf bestimmte und vorher definierte Linuxserver haben. Dazu nutzt man das Gosa-Plugin "Systems". Die angelegten Systeme werden dann als Attribut ("accessTo") im Benutzerobjekt gespeichert.
Mein Problem ist das ich nicht weiß wie genau der Filter für PAM aussehen muss und in welcher Konfigurationsdatei dieser zu platzieren ist. Nach ein wenig Recherche habe ich bereits einige Vorschläge gefunden aber keiner von diesen führte bei mir zum Erfolg.
Der Benutzer kann sich immer anmelden auch wenn das accessTo Attribut nicht den entsprechenden Servernamen enthält.
Genau das soll natürlich nicht passieren. Ich weiß das mit PAM die Möglichkeit besteht das "Host" Attribut abzufragen aber das kann ich aufgrund von Objektklassen Inkompatibilitäten nicht nutzen.
In der /etc/pam_ldap.conf habe ich bereits folgende Varianten versucht:
pam_filter |(&(accessTo=$HOSTNAME)(trustModel=byhost))(trustModel=fullaccess)
pam_filter objectclass=posixAccount)(|(trustmodel=fullaccess)(accessto=$HOSTNAME)
pam_filter objectclass=posixAccount)(|(trustModel=byhost)(accessto=$HOSTNAME)
Es liegt defintiv nicht am Servernamen. Diesen hatte ich auch schon direkt eingegeben.
Hat jemand von euch eventuell ein ähnliches System im produktiven Betrieb?
Ich nutze zur Zeit Debian Wheezy und die entsprechenden Pakete (slapd, libpam-ldap, libnss-ldap, ldap-utils, gosa) aus den Repositories.
Vielen Dank und Grüße,
Jan
