Discussion :

[Dinouit]

Bonjour à tous,

Je me tourne vers vous pour un soucis qui m'embete pas mal.

Dans ma boite, notre parc est constitué majoritairement de serveurs windows mais le nombre de machines linux augmente de plus en plus.

Se pose donc la question de la gestion de l'authentification, j'ai configure mes serveurs pour que ceux ci dialogue avec l'ad (DC Windows 2008R2 et 2003) avec les couches samba + openldap et que seul les membres du groupe ad admin_linux aient accès à ces machines via ssh (windbin + pam).

Ce que je n'arrive pas à faire maintenant c'est de rajouter d'autres groupes ad (imaginons users_linux_read_only) pour qu'ils aient accès à ces machines avec des droits restreints.

Voici mon fichier /etc/spam.d/system-auth qui marche pour mon groupe admin mais pas mon groupe users_read_only :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
#%PAM-1.0
  4 auth        required      pam_env.so
  5 auth        sufficient    pam_unix.so nullok try_first_pass
  6 auth        requisite     pam_succeed_if.so uid >= 500 quiet
  7 #auth        sufficient    pam_krb5.so use_first_pass debug
  8 auth        sufficient    pam_winbind.so require_membership_of=grpusers_admins_linux use_first_pass
  9 auth        sufficient    pam_winbind.so require_membership_of=grpusers_users_read_only use_first_pass
10 auth        required      pam_deny.so
11
12 account     required      pam_access.so
13 account     required      pam_unix.so broken_shadow
14 account [default=ignore success=2] pam_succeed_if.so uid < 16777216 quiet
15 account [default=bad success=1] pam_succeed_if.so user ingroup grpusers_admins_linux quiet
16 account [default=bad success=ignore] pam_succeed_if.so user grpusers_users_read_only quiet
17 account     sufficient    pam_localuser.so
18 account     sufficient    pam_succeed_if.so uid < 500 quiet
19 #account     [default=bad success=ok user_unknown=ignore] pam_krb5.so
20 account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
21 account     required      pam_permit.so
22
23 password    requisite     pam_cracklib.so try_first_pass retry=3 type=
24 password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
25 password    sufficient    pam_krb5.so use_authtok
26 password    sufficient    pam_winbind.so use_authtok try_first_pass
27 password    required      pam_deny.so
28
29 session     optional      pam_keyinit.so revoke
30 session     required      pam_limits.so
31 session     optional      pam_oddjob_mkhomedir.so
32 session     optional      pam_oddjob_mkhomedir.so umask=0077
33 session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
34 session     required      pam_unix.so
35 session     optional      pam_krb5.so

Merci d'avance pour vos éclairages !

Bonne journée!