LDAP認証の設定がされているLinuxサーバ(CentOS 5.1)へログインする
際に、特定のグループに所属しているユーザのみ許可するにはどうすれ
ばよいのでしょうか?
・grp1のldif
dn: cn=grp1,ou=Group,ou=People,dc=abc,dc=jp
objectClass: posixGroup
cn: grp1
gidNumber: 603
memberUid: user1
memberUid: user3
ユーザはuser1、user2、user3の3人がLDAPへ登録されています。
現在は3人ともログインできてしまう。
user1、user3のみログインできるようにしたい。
/etc/ldap.conf のpam_groupdnおよびpam_member_attributeを修正して
みましたが挙動は変わりません。
pam_groupdn cn=grp1,ou=Group,ou=People,dc=abc,dc=jp
pam_member_attribute memberUid
どなたかお知恵をお貸しください。
No.2ベストアンサー
- 回答日時:
>/etc/ldap.conf が有効になってない気がしてきました。
通常/etc/ldap.confはnssの設定ファイルですね。
pamは/usr/local/etc/ldap.confを見に行ってませんか?
共有するためシンボリックリンクしておけばよいでしょう。
ln -s /etc/ldap.conf /usr/local/etc/ldap.conf
ちなみに私の環境ではGroupはPeopleの下におかず
dn: cn=users,ou=Group,dc=abc,dc=jp
objectClass: posixGroup
objectClass: top
cn: users
gidNumber: 1001
のようにしてますので若干ちがうのかもしれません
この回答への補足
yambejpさん
再度回答ありがとうございます。
そもそも、こちらの環境に誤りがありました。
まずgrp1 が正しく登録されていなかった。(致命的です。。)
>ちなみに私の環境ではGroupはPeopleの下におかず
仰るとおりで間違っていました。全て見直しました。
またログインですが、suとsshで挙動が違います。
(suはログインでないかもしれませんが。。。)
suは 現在は3人ともログインできてしまう。
sshは3人ともログインできません。
PAMによる設定の違いでしょうか?
PAMをもっとしっかり勉強する必要がありそうです。
sshでログインすると LDAPサーバ(slapd)のログに下記内容が出力されます。
/var/log/slapdの内容
Feb 15 22:10:25 abcldap slapd[14334]: conn=57 op=2 CMP dn="cn=grp1,ou=Group,dc=abc,dc=jp" attr="memberUid"
Feb 15 22:10:25 abcldap slapd[14334]: conn=57 op=2 RESULT tag=111 err=5 text=
グループのコンペアがFALSE(err=5)であることを示します。
ところが ldapcompare を直接実行するとTRUE(err=6)となります。
# ldapcompare -x -W 'cn=grp1,ou=Group,dc=mde,dc=jp' 'memberUid:devuser1'
/var/log/slapdの内容
Feb 15 22:13:50 abcldap slapd[14334]: conn=58 op=1 CMP dn="cn=grp1,ou=Group,dc=abc,dc=jp" attr="memberUid"
Feb 15 22:13:50 abcldap slapd[14334]: conn=58 op=1 RESULT tag=111 err=6 text=
コンペアの右辺がログには出力されていないので、同じコンペア式になっている
かわかりませんが、ふに落ちないところです。
以上、よろしくお願いいたします。
memberUid:cn=user1,ou=People,dc=abc,dc=jp
と登録することによりうまくいきました。
ありがとうございました。
No.1
- 回答日時:
pam_filter gidNumber=603
とか?
この回答への補足
yambejp さん
回答ありがとう、ございます。
>pam_filter gidNumber=603
変わらず3人ともログインできてしまいました。
pam_filter はユーザエントリ内の属性をフィルタできるようです。
ユーザエントリのgidNumberは3人とも 600になっています。
pam_filter に gidNumber=603を書いたら、誰もログインできなくなるはずです。
/etc/ldap.conf が有効になってない気がしてきました。
特にサービスの再起動は要らないはずですし、なぜでしょう?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・【お題】絵本のタイトル
- ・【大喜利】世界最古のコンビニについて知ってる事を教えてください【投稿~10/10(木)】
- ・メモのコツを教えてください!
- ・CDの保有枚数を教えてください
- ・ホテルを選ぶとき、これだけは譲れない条件TOP3は?
- ・家・車以外で、人生で一番奮発した買い物
- ・人生最悪の忘れ物
- ・【コナン30周年】嘘でしょ!?と思った○○周年を教えて【ハルヒ20周年】
- ・ハマっている「お菓子」を教えて!
- ・最近、いつ泣きましたか?
- ・夏が終わったと感じる瞬間って、どんな時?
- ・10秒目をつむったら…
- ・人生のプチ美学を教えてください!!
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・都道府県穴埋めゲーム
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
crontabでtarを実行した際、エ...
-
BIND エラー not found: 3(NXD...
-
NFSサーバー起動時のエラー対処...
-
linux NTP で エラー になる
-
named.confの設定
-
.bash_profileの内容について
-
Apacheとtomcatの連携で発生す...
-
centOS7のシャットダウン時のコ...
-
【DNS】ゾーン情報が上手く設定...
-
Linuxのtarコマンドで同一ディ...
-
同一のホスト名で何か問題があ...
-
応答を解析できません
-
リモートデスクトップ接続でパ...
-
パスワード設定していないユー...
-
「DNSサーバーを自動的に取得す...
-
エラーメールで"too many hops"...
-
コマンドでのFTP転送が進まない。
-
DNSサーバを設定したのですがns...
-
VirtualBoxのGuestマシンのネッ...
-
”Tortoise SVN” と ”Subversio...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
【DNS】ゾーン情報が上手く設定...
-
VNCへのアクセス制限
-
BIND エラー not found: 3(NXD...
-
ネットワークの再起動方法
-
named.confの設定
-
コアダンプについて
-
crontabでtarを実行した際、エ...
-
LDAP認証が上手く行きません
-
NFSサーバー起動時のエラー対処...
-
apacheの<IfModule prefork.c>...
-
FreeBSDのrc.confに変な表示が...
-
logrotate.confでmonthlyとした...
-
CentOSでのbad owner name
-
cron設定で電源のOFFができませ...
-
RHEL5でのCD-ROMマウントに関して
-
CentOSの解像度・変更方法。
-
echo $LANGで何も表示されません。
-
Linuxのtarコマンドで同一ディ...
-
LDAP-OS認証 グループによる制限
-
linux NTP で エラー になる
おすすめ情報