崩溃：ldap集中认证问题--IP和用户对应关系！ 在线等高手

mrddd1977

如题：  实在没有头绪麻烦各位了
   我现在可以通过openldap 来集中管理用户与登陆（ftp  samba   操作系统登录）。但是无法实现权限控制，既在openldap 下面指定那个用户只能登陆那些机器。（目前只要是LDAP中有用户，可以登陆所有的服务器。无法进行权限控制）。 有大虾指点迷津吗？

   A  B  C  3个账号  分别对应  A 只能登陆X机器
                               b只能登陆y机器
                               c只能登陆z机器

我目前是 A B C 可以任意登陆  xyz3个机器。

这个用户和特定的主机（IP）到底是如何确定的一直没找到相关资料，但是网上很多人确实实现了。 清高手不吝赐教啊

论坛上很多帖子提到这部分内容，但是小弟愚钝没看明白啊！
http://bbs2.chinaunix.net/thread-960454-1-2.html
http://bbs3.chinaunix.net/thread-1388632-1-5.html


帖子提到的
只要 mv /etc/ldap.conf /etc/ldap.conf.old
     ln -sv /etc/openldap/ldap.conf  /etc/ldap.conf
   然后在ldap.conf 文件总加入：pam_filter |(gidNumber=10)(gidNumber=501)(gidNumber=500)

——————————以下是我的配置文件————————
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
URI ldap://172.20.20.11/
BASE dc=ldap,dc=sinoi
TLS_CACERTDIR /etc/openldap/cacerts

# 新加入的内容
pam_filter gidNumber=502
————————————————————————————结束


部分  ldapsearch内容
————————————————————————————————

# user02, Group, ldap.sinoi
dn: cn=user02,ou=Group,dc=ldap,dc=sinoi
objectClass: posixGroup
objectClass: top
cn: user02
gidNumber: 501

# user02, People, ldap.sinoi
dn: uid=user02,ou=People,dc=ldap,dc=sinoi
uid: user02
cn: user02
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 502
gidNumber: 501
homeDirectory: /home/user02
gecos: test2
userPassword:: e1NTSEF9Nlg4c1JuQWhnSU5EMSthOXEwM3d0djNIKzVLcDFZNVo=

# search result
search: 2
result: 0 Success

# numResponses: 24
# numEntries: 23
——————————————————————————
vi   /etc/pam.d/system-aute
________内容———————————— 这个内容应该不是主要影响我的吧？
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so



session     required      pam_mkhomedir.so skel=/etc/skel umask=0077
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
——————————————————————————————————————————

我加了以上内容以后，登陆USER01 和USER02   可以从ROOT下直接 SU  - USER01  .
但是在user01的SHELL下登陆user02和root， 提示登陆密码错误。
————————————命令——————————
root@aflresco-2 ~]# su - user01
-bash-3.1$ su - user01
Password:
su: incorrect password
-bash-3.1$ su - user02
Password:
su: incorrect password
-bash-3.1$

从USER01 切到 root 也提示密码错误！！
——————————————————————————

  另外看到sldap.conf里
access to filter=(&(uid=user01)(accountStatus=active)(allowedHost=172.20.20.26))

BY  by peername=172.20.20.18 write

这里的FILTER 和 PEERNAME  貌似没啥用啊 我配置了没反应。

小弟第一次弄这种架构的ldap 茫然。

[ 本帖最后由 mrddd1977 于 2009-11-24 10:42 编辑 ]

mrddd1977

自己顶 一下。  我这问题貌似这么做的人不多啊。  网上的帖子都是互相抄的没营养。
推荐两个IBM的

http://www.ibm.com/developerworks/cn/linux/l-openldap/
http://www.ibm.com/developerwork ... sp?cv_doc_id=102973
下边的博客搜集的东西也不错，适合第一次做！
http://blog.chinaunix.net/u/22677/article_67238.html     

官网也有点英文的，可以看看。
http://www.openldap.org/doc/admin24/

CU -  LDAP 里各种精华置顶那是必须看的！
我就不多墨迹了

[ 本帖最后由 mrddd1977 于 2009-11-24 11:27 编辑 ]

mrddd1977

我错了大哥们 。我承认我2！

MLGB   
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
URI ldap://172.20.20.11/
BASE dc=ldap,dc=sinoi
TLS_CACERTDIR /etc/openldap/cacerts

pam_filter gidNumber=500
#pam_filter gidNumber=501

我原来的写但是  
pam_filter gidNumber=502

写错了！！！ 真让人崩溃啊

————————但是————————

这种方法是在本地实现的。如果用户可以修改这个文件。  那么这种控制不是形同虚设吗？？？？

有能在 LDAP SERVER实现的方法吗？？？

[ 本帖最后由 mrddd1977 于 2009-11-24 11:15 编辑 ]

gavinzhm

写的挺乱的,没看太明白
你可以把用户中设一个过虑关键字
这样客户端上设置过滤就OK了

aaaaaa

貌似用纯LDAP认证下，纯服务器端解决方案不好搞

觉得用一些复杂的服务器端ACL控制可以实现，但是性能代价应该也比较大。

mrddd1977

原帖由 aaaaaa 于 2009-11-26 16:45 发表
貌似用纯LDAP认证下，纯服务器端解决方案不好搞

觉得用一些复杂的服务器端ACL控制可以实现，但是性能代价应该也比较大。

、

兄弟说出我的心里话了，确实不太好搞。   先把 LDAP官网文档吃一遍在整！！ 我就不信了，验证个IP地址都这么麻烦吗？

小弟准备用一个叫 REDIUES的软件放到LDAP前边做 认证检查。 不知道行不行啊。   摸石头过河吧！

——————————————————————————
http://www.openldap.org/doc/admin24/access-control.html

Then binding as the rootdn will require a regular bind to that DN, which in turn requires auth access to that entry's DN and userPassword, and this can be restricted via ACLs. E.g.:

    access to dn.base="cn=Manager,o=MyOrganization"
      by peername.regex=127\.0\.0\.1 auth
      by peername.regex=192\.168\.0\..* auth
      by users none
      by * none

The ACLs above will only allow binding using rootdn from localhost and 192.168.0.0/24.


应该就是他！   有兴趣的可以测一下。  没工夫继续测了哈哈！  把UID加上应该就可以了！

[ 本帖最后由 mrddd1977 于 2009-12-4 15:54 编辑 ]

nayan115

回复 6# mrddd1977


    你说的那种方法有没有成功？ 把UID加上就行了，是什么意思？？？