Bonjour à tous,
Je me tourne vers vous pour un soucis qui m'embete pas mal.
Dans ma boite, notre parc est constitué majoritairement de serveurs windows mais le nombre de machines linux augmente de plus en plus.
Se pose donc la question de la gestion de l'authentification, j'ai configure mes serveurs pour que ceux ci dialogue avec l'ad (DC Windows 2008R2 et 2003) avec les couches samba + openldap et que seul les membres du groupe ad admin_linux aient accès à ces machines via ssh (windbin + pam).
Ce que je n'arrive pas à faire maintenant c'est de rajouter d'autres groupes ad (imaginons users_linux_read_only) pour qu'ils aient accès à ces machines avec des droits restreints.
Voici mon fichier /etc/spam.d/system-auth qui marche pour mon groupe admin mais pas mon groupe users_read_only :
Merci d'avance pour vos éclairages !
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34 #%PAM-1.0 4 auth required pam_env.so 5 auth sufficient pam_unix.so nullok try_first_pass 6 auth requisite pam_succeed_if.so uid >= 500 quiet 7 #auth sufficient pam_krb5.so use_first_pass debug 8 auth sufficient pam_winbind.so require_membership_of=grpusers_admins_linux use_first_pass 9 auth sufficient pam_winbind.so require_membership_of=grpusers_users_read_only use_first_pass 10 auth required pam_deny.so 11 12 account required pam_access.so 13 account required pam_unix.so broken_shadow 14 account [default=ignore success=2] pam_succeed_if.so uid < 16777216 quiet 15 account [default=bad success=1] pam_succeed_if.so user ingroup grpusers_admins_linux quiet 16 account [default=bad success=ignore] pam_succeed_if.so user grpusers_users_read_only quiet 17 account sufficient pam_localuser.so 18 account sufficient pam_succeed_if.so uid < 500 quiet 19 #account [default=bad success=ok user_unknown=ignore] pam_krb5.so 20 account [default=bad success=ok user_unknown=ignore] pam_winbind.so 21 account required pam_permit.so 22 23 password requisite pam_cracklib.so try_first_pass retry=3 type= 24 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 25 password sufficient pam_krb5.so use_authtok 26 password sufficient pam_winbind.so use_authtok try_first_pass 27 password required pam_deny.so 28 29 session optional pam_keyinit.so revoke 30 session required pam_limits.so 31 session optional pam_oddjob_mkhomedir.so 32 session optional pam_oddjob_mkhomedir.so umask=0077 33 session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid 34 session required pam_unix.so 35 session optional pam_krb5.so
Bonne journée!
Partager