Inicio de sesión del sistema Linux: Cómo usar / etc / passwd para volver a filtrar el nombre de usuario ldap

0

Estoy trabajando para una universidad. Puedo acceder al servidor LDAP de la Universidad pero no puedo modificar nada (es solo para mí). Tengo varias máquinas Linux, quiero configurar todas las máquinas para que se autentiquen a través de la universidad LDAP. (Eso es bastante fácil, ¿verdad?). Los problemas son:

Solo un subconjunto de usuarios de LDAP pueden iniciar sesión en la máquina (sé que se puede hacer a través del grupo LDAP o un atributo LDAP adicional, pero no puedo modificar nada en el LDAP de la universidad) Algunos usuarios pueden no estar en LDAP pero tienen cuentas en la máquina Mi idea es: use / etc / passwd como la lista de usuarios: si (un usuario NO está en la lista) {no puede iniciar sesión,} else {si (está en LDAP) {verifique su contraseña nuevamente la universidad LDAP} else {compruebe su contraseña de nuevo / etc / shadow}}

¿Hay alguna solución? Cualquier ayuda apreciada.

zfsu
fuente

Respuestas:

0

Para permitir que solo un subconjunto de usuarios LDAP inicie sesión:

  1. Si tiene una forma de filtrarlos sin modificar el servidor LDAP, puede agregar el filtro a su /etc/nslcd.conf archivo, por ejemplo:

    filter passwd (objectClass=localAccount)
    
  2. De lo contrario, deberá permitir que todos los usuarios LDAP sean usuarios locales y otorgar permisos solo a los que desee, por ejemplo, cambiando /etc/security/access.conf y / o /etc/ssh/sshd_config.

Para tener usuarios locales adicionales, además de los del servidor LDAP, necesitará su /etc/nsswitch.conf archivo para contener algo como:

passwd: files [unavail=return] ldap
group:  files [unavail=return] ldap
shadow: files ldap

Espero no estar olvidando algo ...

nickie
fuente