崩潰：ldap集中認證問題--IP和用戶對應關系！ 在線等高手

mrddd1977

如題：  實在沒有頭緒麻煩各位了
   我現(xiàn)在可以通過openldap 來集中管理用戶與登陸（ftp  samba   操作系統(tǒng)登錄）。但是無法實現(xiàn)權限控制，既在openldap 下面指定那個用戶只能登陸那些機器。（目前只要是LDAP中有用戶，可以登陸所有的服務器。無法進行權限控制）。 有大蝦指點迷津嗎？

   A  B  C  3個賬號  分別對應  A 只能登陸X機器
                               b只能登陸y機器
                               c只能登陸z機器

我目前是 A B C 可以任意登陸  xyz3個機器。

這個用戶和特定的主機（IP）到底是如何確定的一直沒找到相關資料，但是網上很多人確實實現(xiàn)了。 清高手不吝賜教啊

論壇上很多帖子提到這部分內容，但是小弟愚鈍沒看明白�。�
http://bbs2.chinaunix.net/thread-960454-1-2.html
http://bbs3.chinaunix.net/thread-1388632-1-5.html


帖子提到的
只要 mv /etc/ldap.conf /etc/ldap.conf.old
     ln -sv /etc/openldap/ldap.conf  /etc/ldap.conf
   然后在ldap.conf 文件總加入：pam_filter |(gidNumber=10)(gidNumber=501)(gidNumber=500)

——————————以下是我的配置文件————————
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
URI ldap://172.20.20.11/
BASE dc=ldap,dc=sinoi
TLS_CACERTDIR /etc/openldap/cacerts

# 新加入的內容
pam_filter gidNumber=502
————————————————————————————結束


部分  ldapsearch內容
————————————————————————————————

# user02, Group, ldap.sinoi
dn: cn=user02,ou=Group,dc=ldap,dc=sinoi
objectClass: posixGroup
objectClass: top
cn: user02
gidNumber: 501

# user02, People, ldap.sinoi
dn: uid=user02,ou=People,dc=ldap,dc=sinoi
uid: user02
cn: user02
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 502
gidNumber: 501
homeDirectory: /home/user02
gecos: test2
userPassword:: e1NTSEF9Nlg4c1JuQWhnSU5EMSthOXEwM3d0djNIKzVLcDFZNVo=

# search result
search: 2
result: 0 Success

# numResponses: 24
# numEntries: 23
——————————————————————————
vi   /etc/pam.d/system-aute
________內容———————————— 這個內容應該不是主要影響我的吧？
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so



session     required      pam_mkhomedir.so skel=/etc/skel umask=0077
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
——————————————————————————————————————————

我加了以上內容以后，登陸USER01 和USER02   可以從ROOT下直接 SU  - USER01  .
但是在user01的SHELL下登陸user02和root， 提示登陸密碼錯誤。
————————————命令——————————
root@aflresco-2 ~]# su - user01
-bash-3.1$ su - user01
Password:
su: incorrect password
-bash-3.1$ su - user02
Password:
su: incorrect password
-bash-3.1$

從USER01 切到 root 也提示密碼錯誤��！
——————————————————————————

  另外看到sldap.conf里
access to filter=(&(uid=user01)(accountStatus=active)(allowedHost=172.20.20.26))

BY  by peername=172.20.20.18 write

這里的FILTER 和 PEERNAME  貌似沒啥用啊 我配置了沒反應。

小弟第一次弄這種架構的ldap 茫然。

[ 本帖最后由 mrddd1977 于 2009-11-24 10:42 編輯 ]

mrddd1977

自己頂 一下。  我這問題貌似這么做的人不多啊。  網上的帖子都是互相抄的沒營養(yǎng)。
推薦兩個IBM的

http://www.ibm.com/developerworks/cn/linux/l-openldap/
http://www.ibm.com/developerwork ... sp?cv_doc_id=102973
下邊的博客搜集的東西也不錯，適合第一次做！
http://blog.chinaunix.net/u/22677/article_67238.html     

官網也有點英文的，可以看看。
http://www.openldap.org/doc/admin24/

CU -  LDAP 里各種精華置頂那是必須看的！
我就不多墨跡了

[ 本帖最后由 mrddd1977 于 2009-11-24 11:27 編輯 ]

mrddd1977

我錯了大哥們 。我承認我2！

MLGB   
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
URI ldap://172.20.20.11/
BASE dc=ldap,dc=sinoi
TLS_CACERTDIR /etc/openldap/cacerts

pam_filter gidNumber=500
#pam_filter gidNumber=501

我原來的寫但是  
pam_filter gidNumber=502

寫錯了�。�！ 真讓人崩潰啊

————————但是————————

這種方法是在本地實現(xiàn)的。如果用戶可以修改這個文件。  那么這種控制不是形同虛設嗎？？？？

有能在 LDAP SERVER實現(xiàn)的方法嗎？？？

[ 本帖最后由 mrddd1977 于 2009-11-24 11:15 編輯 ]

gavinzhm

寫的挺亂的,沒看太明白
你可以把用戶中設一個過慮關鍵字
這樣客戶端上設置過濾就OK了

aaaaaa

貌似用純LDAP認證下，純服務器端解決方案不好搞

覺得用一些復雜的服務器端ACL控制可以實現(xiàn)，但是性能代價應該也比較大。

mrddd1977

原帖由 aaaaaa 于 2009-11-26 16:45 發(fā)表
貌似用純LDAP認證下，純服務器端解決方案不好搞

覺得用一些復雜的服務器端ACL控制可以實現(xiàn)，但是性能代價應該也比較大。

、

兄弟說出我的心里話了，確實不太好搞。   先把 LDAP官網文檔吃一遍在整��！ 我就不信了，驗證個IP地址都這么麻煩嗎？

小弟準備用一個叫 REDIUES的軟件放到LDAP前邊做 認證檢查。 不知道行不行啊。   摸石頭過河吧！

——————————————————————————
http://www.openldap.org/doc/admin24/access-control.html

Then binding as the rootdn will require a regular bind to that DN, which in turn requires auth access to that entry's DN and userPassword, and this can be restricted via ACLs. E.g.:

    access to dn.base="cn=Manager,o=MyOrganization"
      by peername.regex=127\.0\.0\.1 auth
      by peername.regex=192\.168\.0\..* auth
      by users none
      by * none

The ACLs above will only allow binding using rootdn from localhost and 192.168.0.0/24.


應該就是他！   有興趣的可以測一下。  沒工夫繼續(xù)測了哈哈！  把UID加上應該就可以了！

[ 本帖最后由 mrddd1977 于 2009-12-4 15:54 編輯 ]

nayan115

回復 6# mrddd1977


    你說的那種方法有沒有成功？ 把UID加上就行了，是什么意思？？？