.png)
¿Alguna idea sobre cómo lograr el siguiente objetivo con el servidor openLDAP con clientes Unix?
Objetivo: a) Cada usuario debe tener restricciones de acceso separadas a diferentes hosts (servidores Unix) a través de la configuración del servidor LDAP b) Cada usuario que haya iniciado sesión (si está permitido) debe tener membresías posixgroup separadas en diferentes máquinas según la configuración del servidor LDAP. Por ejemplo, el usuario janaki deberá ser miembro de Sudo posixgroup en el servidor-1 pero no en el servidor-2.
Pudo lograr el objetivo de la parte a de la siguiente manera:
Cree grupos separados (objectClass groupofNames) con atributo de miembro para cada máquina/host que requiera restricciones de acceso separadas para los usuarios, utilizando superposiciones LDAP (memberof y refint). Agregue usuarios (posixAccount) a estos grupos (escriba groupofnames) en el servidor LDAP para habilitar el acceso de autenticación a cada servidor. En la máquina cliente (servidor Unix), agregue el filtro nss_base_passwd para probar memberof=cn=group-name (el nombre del grupo representa este servidor en LDAP). Esto es exitoso y está funcionando.
¿Lo que se requiere es cómo lograr la parte b? Es decir, ¿qué configuraciones se requieren en el servidor openldap y en los clientes Unix para lograr esto?
-saludos Janaki
Respuesta1
Puede utilizar la clase de objeto posixGroup en LDAP. Esta clase de objeto le permite crear grupos que corresponden a grupos Unix en cada computadora cliente. Luego puede agregar usuarios a estos grupos utilizando el atributo memberUid, que especifica el UID del usuario. En las máquinas cliente, puede configurar el filtro nss_base_group en el archivo /etc/ldap.conf para recuperar objetos posixGroup del servidor LDAP. Esto permite que la computadora cliente use la información de membresía del grupo del servidor LDAP para determinar la membresía del grupo Unix de los usuarios cuando inician sesión. Otra cosa que podría sugerir es usar el módulo pam_ldap para autenticar a los usuarios y establecer su membresía en el grupo según la configuración del servidor LDAP cuando inician sesión.
Editar 1(verifique los comentarios para obtener referencias): Sí, puede usar la clase de objeto posixGroup y el filtro nss_base_group para lograr el objetivo de tener diferentes membresías de grupos Unix para diferentes usuarios en diferentes máquinas cliente.
Para hacer esto, puede crear objetos posixGroup en el servidor LDAP para cada grupo que desee usar en las máquinas cliente. Luego puede usar el atributo memberUid para especificar los UID de los usuarios que son miembros de cada grupo.
En las máquinas cliente, puede configurar el filtro nss_base_group en el archivo /etc/ldap.conf para recuperar los objetos posixGroup del servidor LDAP. Por ejemplo, puede agregar la siguiente línea al archivo /etc/ldap.conf en la máquina cliente:
nss_base_group ou=Groups,dc=example,dc=com?one
Esto hará que la máquina cliente busque objetos posixGroup en la unidad organizativa de grupos en el servidor LDAP y utilice la información de esos objetos para configurar la membresía del grupo Unix para los usuarios cuando inicien sesión.
En cuanto al uso del módulo pam_ldap para autenticar usuarios y establecer su membresía en el grupo según la configuración del servidor LDAP cuando inician sesión, es posible hacerlo. El módulo pam_ldap se puede configurar para usar el servidor LDAP para autenticar usuarios y establecer su membresía en el grupo cuando inician sesión en la máquina cliente.
Para utilizar el módulo pam_ldap, puede agregar la siguiente línea al archivo /etc/pam.d/common-auth en la máquina cliente:
auth sufficient pam_ldap.so
Esto hará que el módulo pam_ldap autentique a los usuarios utilizando el servidor LDAP y establezca su membresía en el grupo según la información del servidor LDAP.