Новые ответы

Ограничение доступа доменным пользователям на Linux-машине,

evors, 19-Апр-11, 16:00 [смотреть все]

Приветствую. Не удается настроить ограничение прав для доменных юзеров в Ubuntu 10.04, машина успешно введена в домен (настроено через Samba+Winbind+Kerberos). Команды
wbinfo -u
wbinfo -g
выдают правильный результат, могу залогиниться любим доменным или локальным пользователем на Ubuntu. Надо ограничить таких пользователей. Неудачно пробовал реализовать это через PAM. Мб есть альтернативные способы ограничения?

Конфиги: /etc/security/group.conf
gdm;*;linuh;Al0000-2400;floppy        # linuh - доменный аккаунт
nano /etc/pam.d/gdm
auth    requisite       pam_group.so
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required        pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional        pam_gnome_keyring.so auto_start
@include common-password
в /etc/pam.d/common-session добавил только одну строку
session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077
остальные конфиги pam не правил.

Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, Zl0, 16:16 , 19-Апр-11 (1)
>[оверквотинг удален]
> close
> session required        pam_limits.so
> @include common-session
> session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so
> open
> session optional        pam_gnome_keyring.so auto_start
> @include common-password
> в /etc/pam.d/common-session добавил только одну строку
> session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077
> остальные конфиги pam не правил.
man sshd_config
AllowGroups
AllowUsers
Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, evors, 16:59 , 19-Апр-11 (3)
> man sshd_config
> AllowGroups
> AllowUsers
Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем случае)?
Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, Zl0, 17:09 , 19-Апр-11 (4)
>> man sshd_config
>> AllowGroups
>> AllowUsers
> Спасибо, прочитаю. А как реализовать ограничение только для GUI (gdm в моем
> случае)?
Это уже в паме смотрите, ответ ниже.
Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, Евгений, 16:27 , 19-Апр-11 (2)
system-auth
account     required      pam_unix.so
account     required      pam_access.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     sufficient    pam_winbind.so
account     required      pam_permit.so
cat /etc/security/access.conf
- : ALL except jack root : ALL
man pam_access
Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, evors, 18:07 , 19-Апр-11 (5)
>[оверквотинг удален]
> account     required      pam_unix.so
> account     required      pam_access.so
> account     sufficient    pam_localuser.so
> account     sufficient    pam_succeed_if.so uid <
> 500 quiet
> account     sufficient    pam_winbind.so
> account     required      pam_permit.so
> cat /etc/security/access.conf
> - : ALL except jack root : ALL
> man pam_access
Это действительно помогло, огромное спасибо.
Ответить | Сообщить модератору

Ограничение доступа доменным пользователям на Linux-машине, evors, 12:47 , 20-Апр-11 (6)
>[оверквотинг удален]
>> account     required      pam_access.so
>> account     sufficient    pam_localuser.so
>> account     sufficient    pam_succeed_if.so uid <
>> 500 quiet
>> account     sufficient    pam_winbind.so
>> account     required      pam_permit.so
>> cat /etc/security/access.conf
>> - : ALL except jack root : ALL
>> man pam_access
> Это действительно помогло, огромное спасибо.
С пользователями работает отлично, с группами не хочет. Записываю так:
- : ALL except (domain_group) local_user root : ALL

Ответить | Сообщить модератору