Problème LDAP / pam_access

ColDay · 29/11/2006, 16h36

Bonjour,

Je suis en charge d'un projet visant à sécuriser une plateforme SLES 9.2 (suse).
Pour cela on a d'abord mis en place un annuaire LDAP et activé l'authentification depuis LDAP.
On a ensuite mis en place des PAM pour sécuriser les acces (notamment sur le login graphique et console, les acces ftp et ssh).

Mon soucis est le suivant : quand je fais une modification de ma base ldap, j'ai l'impression que les PAM ne les prennent pas en compte jusqu'a ce que je redemarre la machine qui fait tourner le serveur LDAP...

Je m'explique :

J'ai un groupe qui s'appelle "noaccess" dans lequel on peut mettre des utilisateurs pour les interdire de login/acces. Le mécanisme d'interdiction du groupe noaccess est fait grace au PAM pam_access.
Si j'ajoute un utilisateur dans le groupe noaccess, je peux toujours me logguer, sauf si je reboote le serveur LDAP !

Si vous avez une solution je suis preneur

julp · 29/11/2006, 19h19

ça me paraît peu probable que le problème vienne de l'annuaire puisqu'il s'agit d'une base de données. Le moyen le plus simple de tester c'est encore de procéder à une modification et d'utiliser un client pour voir si celle-ci est bien répercutée. Peut être y a-t-il un cache là-dessous ? Interrogez-vous des annuaires esclaves/réplicats ?

Julp.

ColDay · 01/12/2006, 15h56

Merci pour votre reponse,

Oui j'ai mis en place un annuaire replique. Mais cela ne vient pas de la, puisque la replication se fait sans probleme.

J'ai fait des tests complementaires, et en fait cela ne vient pas non plus du pam_access.
Le probleme est a mon avis plus au niveau du systeme :
quand j'effectue une modification de groupe pour un user sur ldap, la modif est visible sur les clients que si je redemarre le client ldap (sous yast) ou si je reboote la machine...
j'ai l'impression que les clients ne vont pas redemander a ldap les infos de groupes, en fait.

Peut etre que c'est effectivement un probleme de cache. Comment est-ce qu'on parametre ce genre de chose ?

julp · 01/12/2006, 17h01

Je n'ai jamais eu de problème de ce genre (utilisant Unix), mais Linux intègre un dispositif de cache nommé nscd. Voir : nscd (8) et nscd.conf (5).

Julp.

29/11/2006, 16h36	#1
ColDay Invité de passage Inscription : mai 2006 Messages : 15 Détails du profil Informations forums : Inscription : mai 2006 Messages : 15 Points : 2 Points : 2	Problème LDAP / pam_access Bonjour, Je suis en charge d'un projet visant à sécuriser une plateforme SLES 9.2 (suse). Pour cela on a d'abord mis en place un annuaire LDAP et activé l'authentification depuis LDAP. On a ensuite mis en place des PAM pour sécuriser les acces (notamment sur le login graphique et console, les acces ftp et ssh). Mon soucis est le suivant : quand je fais une modification de ma base ldap, j'ai l'impression que les PAM ne les prennent pas en compte jusqu'a ce que je redemarre la machine qui fait tourner le serveur LDAP... Je m'explique : J'ai un groupe qui s'appelle "noaccess" dans lequel on peut mettre des utilisateurs pour les interdire de login/acces. Le mécanisme d'interdiction du groupe noaccess est fait grace au PAM pam_access. Si j'ajoute un utilisateur dans le groupe noaccess, je peux toujours me logguer, sauf si je reboote le serveur LDAP ! Si vous avez une solution je suis preneur
	00

29/11/2006, 19h19	#2
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	ça me paraît peu probable que le problème vienne de l'annuaire puisqu'il s'agit d'une base de données. Le moyen le plus simple de tester c'est encore de procéder à une modification et d'utiliser un client pour voir si celle-ci est bien répercutée. Peut être y a-t-il un cache là-dessous ? Interrogez-vous des annuaires esclaves/réplicats ? Julp.
	00

01/12/2006, 15h56	#3
ColDay Invité de passage Inscription : mai 2006 Messages : 15 Détails du profil Informations forums : Inscription : mai 2006 Messages : 15 Points : 2 Points : 2	Merci pour votre reponse, Oui j'ai mis en place un annuaire replique. Mais cela ne vient pas de la, puisque la replication se fait sans probleme. J'ai fait des tests complementaires, et en fait cela ne vient pas non plus du pam_access. Le probleme est a mon avis plus au niveau du systeme : quand j'effectue une modification de groupe pour un user sur ldap, la modif est visible sur les clients que si je redemarre le client ldap (sous yast) ou si je reboote la machine... j'ai l'impression que les clients ne vont pas redemander a ldap les infos de groupes, en fait. Peut etre que c'est effectivement un probleme de cache. Comment est-ce qu'on parametre ce genre de chose ?
	00

01/12/2006, 17h01	#4
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Je n'ai jamais eu de problème de ce genre (utilisant Unix), mais Linux intègre un dispositif de cache nommé nscd. Voir : nscd (8) et nscd.conf (5). Julp.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email