На данный момент мой PAM интегрирован через LDAP с настраиваемым стеком аутентификации в /etc/pam.d/systhem-auth
:
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.netgroup.allowed
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass retry=3
password sufficient pam_unix.so sha512 nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_mkhomedir.so skel=/etc/skel umask=077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
Как видите, авторизация выполняется путем поиска по /etc/login.netgroup.allow
файл, содержащий список групп LDAP. Таким образом, пользователь может входить в систему или нет на этом сервере, если он принадлежит хотя бы к одной или нескольким группам.
Эта проверка выполняется статически. Я имею в виду, что файл login.netgroup.allow неизменяемый и содержит только список групп. Есть ли способ или предложение выполнить эту проверку динамически с помощью проверки LDAP? Я имею в виду, предположим, что у меня есть ветка LDAP, которая содержит запись с именем хоста моего сервера и многозначный атрибут, содержащий список групп, связанных с этим сервером. Можно ли сделать проверку не в файл, а непосредственно на LDAP?
ИНФОРМАЦИЯ: ОС: Red Hat 6.4 Клиент LDAP: nslcd
РЕДАКТИРОВАТЬ: На данный момент я заставил его работать с настраиваемым скриптом:
Это system-auth
моего hostname1
сервер:
auth sufficient pam_unix.so nullok try_first_pass
auth required pam_exec.so /usr/sbin/netgroupCheck
auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.netgroup.allowed
Я проверяю разрешенную группу непосредственно на LDAP с помощью /usr/sbin/netgroupCheck
сценарий:
#!/usr/bin/env bash
#Allowed Netgroup File
file=/etc/login.netgroup.allowed
#LDAP Client
uri=$(cat /etc/nslcd.conf | grep uri | grep "^[^#;]" | sed 's/[^ ]* //')
oud_user=$( cat /etc/nslcd.conf | grep binddn | grep "^[^#;]" | sed 's/[^ ]* //')
oud_password=$( cat /etc/nslcd.conf | grep bindpw | grep "^[^#;]" | sed 's/[^ ]* //')
hostname=$(hostname)
#Refresh Allowed Netgroup File from LDAP
ldapsearch -LLL -D $oud_user -H $uri -w $oud_password -b "dc=base,dc=it" "(cn=$hostname)" Allowednetgroup | grep -i Allowednetgroup | sed 's/[^ ]* //' > $file
И это запись в LDAP:
dc: cn=hostname1,ou=servers,dc=base,dc=it
objectClass: host
objectClass: ipHost
objectClass: top
cn: hostname1
ipHostNumber: 10.10.10.10
Allowednetgroup: GROUP1
Allowednetgroup: GROUP2
Allowednetgroup: GROUP3
Таким образом, я могу редактировать группу allowednetgroup прямо на LDAP, не редактируя ее на сервере.
Конечно, это делается через filter passwd
директива nslcd.conf файл, примерно так:
filter passwd (memberOf=cn=myLoginGroup,ou=groups,dc=foo,dc=bar)
поскольку filter passwd
ссылается на фильтр LDAP, он может быть сколь угодно сложным, включая несколько групповых ограничений внутри логического выражения.
Если я правильно вас понял, вы используете файл для проверки аутентификации, прежде чем достигнете плагина LDAP. И этот файл подключается к LDAP, который проверяет (как минимум) 2 группы и позволяет пользователям, принадлежащим (любой из) этих двух групп, пройти аутентификацию.
Если это так, вы можете просто передать это pam_ldap и вместо этого настроить его для фильтрации аутентификации на этом этапе.
В любом случае, если вы используете LDAP, у вас уже есть динамические группы. Что вам нужно, так это скормить эти группы клиентам. Возможно, я что-то упускаю, но вот пара вариантов, которые я могу придумать:
Вы можете осуществить это с помощью параметра конфигурации PAM_LDAP pam_groupdn
если у вас есть возможность создать новую группу, слияние между GROUP1 и GROUP2 и добавление каждого пользователя ГРУППА 1 и ГРУППА2 в эту группу, например. давай назовем это ГРУППА 3.
Затем вы должны добавить следующую строку в /etc/ldap.conf
:
pam_groupdn cn=GROUP3,ou=groups,dc=foo,dc=bar
При необходимости перезапустите службы.
Насколько я знаю, pam_groupdn
не допускает более одной группы. Если вы не можете объединить GROUP1 и GROUP2 в третью группу GROUP3, другим вариантом будет использование SSSD.
У вас должен быть установлен SSSD. Я не знаю, какой дистрибутив вы используете, но обычно пакет имеет то же имя sssd
.
Добавьте следующую строку в /etc/sssd/sssd.conf под разделом [домен]:
access_provider = ldap
ldap_access_filter = (|(memberOf=cn=GROUP1,ou=groups,dc=foo,dc=bar)(memberOf=cn=GROUP2,ou=groups,dc=foo,dc=bar))
При необходимости перезапустите службы.