ldap,pam,nss: lokale login Shell

[hoeschler]

Hi,

Ich hab alle meine User im LDAP hinterlegt.
Die haben alle nötigen Attribute zum Login hinterlegt, was auch wunderbar funktioniert.

Jetzt meine Frage: man holt sich ja per nsswitch.conf seine passwd Infos aus dem LDAP. Jetzt möchte ich aber auf manchen Maschinen den Shell Login erlauben.
Im LDAP ist alles auf /bin/nologin gesetzt.

Wie bekomm ich jetzt lokal die Info vom LDAP überschrieben?

Also entweder ich mach im LDAP den default auf /bin/bash und setz das lokal auf /bin/nologin oder /bin/false.

Lieber wäre mir aber, dass ich alle auf /bin/false im LDAP setze und dann lokal eine Shell zuweise. Diese Richtung hat dann den Vorteil, falls die präferierte Login Shell nicht bash sondern irgendwas anderes ist.

Weiß jemand, wie das geht?

[uname]

nss_ldap kann wohl Werte wie Shells einfach überschreiben.

Code: Alles auswählen

nss_override_attribute_value loginShell /bin/bash

Nicht probiert.

[hoeschler]

Die Idee ist mir auch gekommen.

Ich habs mal in die nss_ldap.conf eingetragen, aber keinen wirklichen Effekt bemerkt.

Muss man dann irgendeinen Service neustarten? Eigentlich nicht, oder?

[Cae]

Muss man dann irgendeinen Service neustarten? Eigentlich nicht, oder?

Nja, so eine .conf wird typischerweise erst bei /etc/init.d/tollerserver reload neu eingelesen. In Fällen wie diesen muss der Client sich zusätzlich neu verbinden.

Gruß Cae

[hoeschler]

okay, ich habs.

ich hab mich beim Attribut überlesen, und anstatt nss_override_attribute_value ein nss_default_attribute_value gesetzt

Dann funktionierts wunderbar


Problem gelöst

[ThorstenS]

hast du das auf eine bestimmte Benutzergruppe begrenzt, oder generell allen Usern einen shellzugriff gewährt?
Falls ersteres, interessiert mich deine Umsetzung.

[hoeschler]

nee erstmal allen.

Wobei, jetzt wo du das sagst hätt ich da auch Interesse dran.

Wenn ich mir die pam_ldap.conf so anschaue, wäre erste Wahl wahrscheinlich

Code: Alles auswählen

pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com

Dort eben eine entsprechende Gruppe angeben, in die du diejenigen gepackt hast, denen du Zugriff gewähren möchtest.

Alternativ müsste man wohl mit einem Filter arbeiten.

[ThorstenS]

ah, danke.

Ich habs bisher so gelöst, dass nur einige Benutzer das Recht hatten sich auf dem Horst einzuloggen. Dazu habe ich die Loginshell von /usr/sbin/nologin auf /bin/bash umgeschrieben.

Vorgehen:
nsswitch.conf wie folgt anpassen:

Code: Alles auswählen

passwd:         compat
group:          files ldap
shadow:         files ldap
passwd_compat:  ldap

Und um zu erreichen, dass kein root aus dem LDAP ins System kommt, und die Loginshell für den User thorsten auf /bin/bash umgeschrieben wird, kommt das ans Ende der passwd:

Code: Alles auswählen

+thorsten::::LDAP User::/bin/bash
-root::::::
+::::::

Mehr dazu siehe man nsswitch.conf

Vllt. werde ich das jetzt mal umstellen. Dann pflege ich nämlich alles zentral im LDAP und nicht mehr auf den Maschinen selbst.
Also danke ich dir für den Input!

[hoeschler]

Na wie gesagt, das ist eher eine Vermutung denn eine gültige config!

Ich müsst das auch mal austesten, habe aber bisher einfach noch nicht die Zeit gefunden.