Итак, я думал, что мой LDAP работает идеально, но сегодня я вошел в систему, и он аутентифицировал меня, но он показывает, что я локальная учетная запись администратора, даже whoami так говорит, и у меня есть полный root-доступ, как у локальной учетной записи пользователя .
Есть идеи, что искать?
Это результат входа в систему как пончик, который НЕ является локальным пользователем, но уже входил в систему раньше.
sysadmin@BASICTEMPLATE:~$ whoami
sysadmin
sysadmin@BASICTEMPLATE:~$ pwd
/home/donut
И вывод tail -f / var / log / auth при входе в систему как пончик
Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: Accepted publickey for donut from 192.168.1.210 port 50472 ssh2: RSA 9c:a7:b6:3c:a8:2d:96:21:e8:d2:47:cb:6f:8f:a0:91
Oct 7 21:01:15 BASICTEMPLATE sshd[1871]: pam_unix(sshd:session): session opened for user donut by (uid=0)
Oct 7 21:01:15 BASICTEMPLATE systemd-logind[471]: New session 4 of user sysadmin.
Моя настройка клиента:
И клиент, и сервер - это Ubuntu Server 14.04.
Настройка на клиенте:
sudo su
apt-get update
apt-get install -y libpam-ldap nscd ldap-utils python-pip python-ldap libsasl2-dev python-dev libldap2-dev libssl-dev libnss-ldapd
##INSTALL STEPS###
#NOT LDAPI://, LDAP://
ldap://192.168.1.255
dc=freesoftwareservers,dc=com
{group,pass,shadow} (These options may not all show, manually edit /etc/nsswitch.conf if so)
ldap://192.168.1.255
dc=freesoftwareservers,dc=com
3
YES
NO
cn=admin,dc=freesoftwareservers,dc=com
PASSWORD
sed -i -r 's/(.*)(use_authtok)(.*)/\1\3/g' /etc/pam.d/common-password
grep 'pam_mkhomedir.so' /etc/pam.d/common-session > /dev/null || {
cat >> /etc/pam.d/common-session <<EOF
session required pam_mkhomedir.so skel=/etc/skel umask=0022
EOF
}
sh -c 'echo "tls_reqcert never\nnss_initgroups_ignoreusers ALLLOCAL\nbind_timelimit 3\ntimelimit 3" >> /etc/nslcd.conf'
Редактировать :
sudo nano /etc/nsswitch.conf
passwd: compat ldap
group: compat ldap
shadow: compat ldap
Включите поиск ключа SSH RSA:
pip install ssh-ldap-pubkey
sh -c 'echo "AuthorizedKeysCommand /usr/local/bin/ssh-ldap-pubkey-wrapper\nAuthorizedKeysCommandUser nobody" >> /etc/ssh/sshd_config' && service ssh restart
Ограничить группу ServerAdmins:
sudo sh -c 'echo "auth required pam_access.so" >> /etc/pam.d/common-auth'
sudo sh -c 'echo "- : ALL EXCEPT root (admin) (wheel) (ServerAdmins): ALL EXCEPT LOCAL" >> /etc/security/access.conf'
Предоставить серверу группы доступ к Sudo:
sudo visudo
# Members of the LDAP group ServerAdmins may run sudo
%ServerAdmins ALL=(root) ALL
/etc/init.d/nscd restart