Differences
This shows you the differences between two versions of the page.
|
saisp:labs:02:contents:03 [2013/11/11 00:46] 127.0.0.1 external edit |
saisp:labs:02:contents:03 [2014/03/03 13:23] (current) alexandru.carp [03. [10p] Configurare autentificare LDAP pentru anumite grupuri] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ==== 03. Lorem ipsum ==== | + | ==== 03. [10p] Configurare autentificare LDAP pentru anumite grupuri ==== |
| - | ... | + | Ne propunem ca pe stația client să se autentifice doar utilizatorii din grupul POSIX ''politicians'' stocat în baza de date LDAP. Realizați această configurare și testați-o. Urmăriți și mesajele de jurnalizare din fișierul ''/var/log/auth.log'' pentru verificare. |
| + | <note tip> | ||
| + | Indicații despre configurarea unui anumit grup găsiți aici: https://wiki.debian.org/LDAP/PAM, secțiunea "Allowing logins on a per-group basis". | ||
| + | </note> | ||
| + | |||
| + | <note important> | ||
| + | Parola utilizatorului ''raynor'' trebuie setata folosind ''ldappasswd''. | ||
| + | |||
| + | Revedeti Laboratorul 1: http://ocw.cs.pub.ro/courses/saisp/labs/01/contents/06 | ||
| + | </note> | ||
| + | |||
| + | <solution -hidden> | ||
| + | Așa cum este indicat în link-ul de mai sus, adăugăm în fișierul ''/etc/pam.d/common-auth'' linia<code> | ||
| + | auth required pam_access.so | ||
| + | </code> iar în fișierul ''/etc/security/access.conf'' linia<code> | ||
| + | -:ALL EXCEPT root politicians:ALL EXCEPT LOCAL | ||
| + | </code> | ||
| + | |||
| + | Pentru verificare ne conectăm prin SSH de pe sistemul fizic la utilizatorul ''vmengsk'' (va funcționa, este în grupul ''politicians''):<code bash> | ||
| + | student@mjolnir:~$ ssh -l vmengsk 192.168.0.3 | ||
| + | vmengsk@192.168.0.3's password: | ||
| + | [...] | ||
| + | Last login: Sat Mar 1 19:58:43 2014 from 192.168.0.1 | ||
| + | vmengsk@ldap-client:~$ logout | ||
| + | </code> și la utilizatorul ''raynor'' (nu va funcționa, este în grupul ''fighters''):<code bash> | ||
| + | student@mjolnir:~$ ssh -l raynor 192.168.0.3 | ||
| + | raynor@192.168.0.3's password: | ||
| + | Permission denied, please try again. | ||
| + | raynor@192.168.0.3's password: | ||
| + | Permission denied, please try again. | ||
| + | raynor@192.168.0.3's password: | ||
| + | </code> | ||
| + | |||
| + | Eșecul conectării este raportat în ''/var/log/auth.log'':<code bash> | ||
| + | root@ldap-client:/etc/ldap/ldif/lab-02-solution# tail -10 /var/log/auth.log | ||
| + | [...] | ||
| + | Mar 1 20:00:54 ldap-client sshd[5219]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.1 user=raynor | ||
| + | Mar 1 20:00:54 ldap-client sshd[5219]: pam_access(sshd:auth): access denied for user `raynor' from `192.168.0.1' | ||
| + | [...] | ||
| + | </code> | ||
| + | </solution> | ||
