dare priorità a LDAP quando si usano passwd e group

0

Ho diversi server, uno dei quali, ad esempio S1, viene utilizzato come server LDAP. Altri server sono configurati per l'autenticazione con il server LDAP.

Quando viene aggiunto un utente, creo sempre un utente unix su S1, quindi lo migro su LDAP, che a mio avviso non è corretto, ma non conosco un modo migliore. Ora voglio cambiare la password per il mio utente LDAP su S1, ma passwd istruzioni current (UNIX) password invece di current (LDAP) password.

Come posso dare a LDAP una priorità più alta rispetto all'autenticazione locale per passwd e altre situazioni come il login?

A proposito, posso usare LDAP per specificare il gruppo UNIX per gli utenti?

linux  authentication  ldap  openldap 
Rankaba
fonte

Risposte:

1

Quando viene aggiunto un utente, creo sempre un utente unix su S1, quindi lo migro su LDAP, che a mio avviso non è corretto, ma non conosco un modo migliore.

È possibile integrare direttamente la gestione utenti NSS / PAM sul proprio server LDAP con se stessa. Lo sto facendo con il mio AE-DIR server. Certo, devi essere cauto per non chiuderti da solo se qualcosa va storto. Pertanto è una buona idea avere, oltre a più repliche per il failover, una sorta di accesso di emergenza disponibile.

Ora voglio cambiare la password per il mio utente LDAP su S1, ma passwd richiede la password corrente (UNIX) invece della password corrente (LDAP).

Questo fa parte del locale Configurazione PAM . Non hai detto nulla riguardo al Linux che stai usando. Ma oggi sulla maggior parte delle varianti di Linux la configurazione PAM si trova nella directory /etc/pam.d/. La relativa parte di configurazione PAM è di tipo PAM rilevante quando la modifica della password è "password". L'ordine può essere modificato anche con la configurazione PAM.

BTW: Non permetterei a tutti gli utenti di accedere ai server LDAP per cambiare la loro password con passwd strumento. Consiglierei di fornire un'app self-service per password basata sul Web per questo caso d'uso.

Tieni presente che il PAM è complesso: puoi scavare grandi buchi di sicurezza e / o bloccarti. Quindi prova prima con le macchine virtuali rimosse.

Potresti anche voler modificare /etc/nsswitch.conf se vuoi integrare il tuo Linux con una gestione degli utenti basata su LDAP.

Potresti voler dare un'occhiata a soluzioni complete e pronte all'uso:

Michael Ströder
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.