hi,
ich habe einen openldap Server zum Verwalten von
Benutzerkonten installiert, der auch soweit schon
funktioniert. Auf dem client können sich die Benutzer
auch schon einloggen (libpam-ldap/libnss-ldap).
Nun habe ich das Problem, das ich nicht will, das
sich verschiedene Benutzer auf -allen- Servern
die an das ldap angebunden sind einloggen können.
Dazu gibt es ja eine Host based ACL (attribut host im
ldap directory das den hostnamen enhält, und die entsprechende
pam_check_host_attr yes option in pam_ldap.conf)
Nehmen wir jetzt das beispiel ssh.
Wenn in /etc/pam.d/ssh das pam_ldap.so als "sufficient"
eingetragen ist, erhält der Benutzer beim Login zwar
die Meldung "Acces for this host denied", kann sich
aber trotzdem einloggen. Wenn ich von "sufficient" auf
"required" umstelle, ist dies nicht mehr der Fall, allerdings
schliesse ich dann auch alle lokalen Benutzer des Servers
(also die, die regulär in /etc/passwd eingetragen sind) aus.
1 Frage: wie kann ich da einen Mittelweg finden?, so das
die Benutzer vom Ldap server gesperrt werden, die, die
regulär eingetragen sind, sich aber trotzdem weiterhin
einloggen können.
Es gäbe ja noch die Möglichkeit, sich mit der pam_filter
Option zu spielen und einen dementsprechenden Filter
anzuwenden, welcher hier aber leider ignoriert wird, bzw
ich hab es einfach nicht hingekriegt.
Hat damit wer Erfahrung?