Uzaktan oturum açarken gruplar yerel gruplardan farklıdır


14

Kullanıcılarımızı farklı sistemlerde (kuruluş rolleri dahil wheel) anlam taşıyan bazı grupların yanı sıra LDAP'de saklıyoruz . İş istasyonlarında yerel gruplar da vardır, örn. audioVeya videoLDAP'ye yerleştirilmesi arzu edilmeyen gruplar . Şimdi yerel olarak giriş yaparsam bu yerel grupları alırım, ancak SSH üzerinden aynı makineye giriş yaparsam bunlardan yoksundur. Elbette geri gelirler, eğer suhemen sonra kullanırsam . Yanlış yolda olabilirim ama PAM'dan şüpheleniyorum.

İle ilgili girişler nsswitch.conf

passwd:      compat ldap
shadow:      compat ldap
group:       compat ldap

Pam'a gelince, her zaman yetkilendirme çizgisi, ancak diğer çizgiler aynı

/etc/pam.d/sshd

auth            include         system-remote-login

/etc/pam.d/system-remote-login( system-local-loginekleyebilirim ile aynı)

auth            include         system-login

/etc/pam.d/system-login

auth            required        pam_tally2.so onerr=succeed
auth            required        pam_shells.so 
auth            required        pam_nologin.so 
auth            include         system-auth
auth            optional        pam_gnome_keyring.so

account         required        pam_access.so 
account         required        pam_nologin.so 
account         include         system-auth
account         required        pam_tally2.so onerr=succeed 

password        include         system-auth
password        optional        pam_gnome_keyring.so

session         optional        pam_loginuid.so
session         required        pam_env.so 
session         optional        pam_lastlog.so 
session         include         system-auth
session         optional        pam_gnome_keyring.so auto_start
session         optional        pam_motd.so motd=/etc/motd
session         optional        pam_mail.so

/etc/pam.d/su

auth       sufficient   pam_rootok.so
auth       required     pam_wheel.so use_uid
auth       include              system-auth

account    include              system-auth

password   include              system-auth

session    include              system-auth
session    required     pam_env.so
session    optional             pam_xauth.so

/etc/pam.d/common-auth:

auth    required     pam_group.so use_first_pass

Sorun ne olabilir ve nasıl çözerim? Gerekli diğer bilgileri vermekten mutluluk duyuyorum.


Ne yapar /etc/nsswitch.confiçin gibi görünüyor group? Çıktısı nedir getent YOURUSERNAME? Does sizin /etc/pam.d/sshd@include ortak-{oturum, auth, şifre, hesap}?
eppesuig

istemci sonunda hangi işlemi / adımları ayarladınız?
Rahul Patil

1
@Aurelien, "gölge ldap" varsa, pam_unix nss'den parola bilgilerini alarak kimlik doğrulamasını yapar.
Stéphane Chazelas

1
Sanırım PAM'den şüpheleniyorsun. Büyük olasılıkla bir NIS sorunu. PAM'ın gruplar hakkında hiçbir fikri yoktur; hepsi sshd initgroups çağırdığında libc ile yapılır.
Nicholas Wilson

1
Aslında, biraz değiştiririm: görünüşe göre bazı modüller kullanıcı grupları oluşturmak için pam_setcred çağrısı kanca, bu yüzden sshd pam_setcred önce initgroups çağırır. Hmmm.
Nicholas Wilson

Yanıtlar:


3

Bugün kalbi aldım ve sonunda çözdüm. Pam zinciri böyle çalışır

  • /etc/pam.d/sshd içerir:
    • /etc/pam.d/system-remote-login içerir:
      • /etc/pam.d/system-login içerir:
        • /etc/pam.d/system-auth isteğe bağlı bir gereksinimi vardır

Görünüşe göre son içerme bir nedenden dolayı çalışmıyor. Şimdiye kadar bu kadar şaşkın olmamın sebebi, bu içeriğin işe yarayacağına güvenmemdi, ki durum böyle değildi. Birisi neden çok minnettar olduğumu açıklayabilirse. Bunu biliyorum çünkü satırı eklersem

auth    optional  pam_group.so

içine /etc/pam.d/system-logino zaman çalışır.


1

Giriş programı (UID, GID ve ek gruplar dahil olmak üzere ortamınızı ayarlayan), kullanıcı adı <--> UID, GID ve kullanıcı adının ait olduğu ek gruplar hakkında bir tür veritabanından veri alır. Geleneksel olarak / etc / passwd ve / etc / groups dosyalarından, bugün de LDAP'den. Veri kaynağına bağlı olarak, atadığınız gruplar değişebilir.

Dikkatli olun, farklı kaynaklar karıştırılırsa, aynı ada ancak farklı UID'lere (sistem dahili olarak UID'yi kullanır) veya farklı gruplara sahip bir hesapla sonuçlanabilir. Sonuç normalde gündelik seyirci için çok eğlenceli olurken, sorumlu taraflar için kapsamlı saç çekme nedeniyle erken kelliklere yol açar. (Orada bulunmak.)


0

Içine nsswitch.conf:

    grup: uyumlu ldap

afaik bu gruplara getgrent diyor (grup girişleri)

EDIT: başka bir şey aşağıdakileri eklemek için /etc/pam.d/common-auth:

kimlik doğrulama gerekli pam_group.so use_first_pass

daha fazla bilgi için buraya bir göz atın: Kullanıcılara yerel gruplar atayın ve belki de bu yeni grup pam-grup-ile-atanmış


Bu çizgi zaten böyle mevcut.
Maksimum

belki sorunuzu "nsswitch.conf sitesinden ilgili girdiler" e ekleyebilirsiniz.
xx4h

yapılır ve düzenleme maalesef yardımcı olmadı.
Maksimum

yaptınız pam-auth-updateve nscd yeniden başlattınız mı?
xx4h

0

Neredeyse benzer bir sorunum vardı: ssh kullanarak giriş yaptığınızda, bazı gruplar eksikti. /Etc/nsswitch.conf değiştirilerek çözülmüştür:

group:      compat  -> group:      files nis
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.