ldap posix account, hostbezogen

[MarcoHensel]

Liebe Gruesse,

hier wurde ein openldap mit pam_ldap und nss_ldap fuer system logins eingerichtet, das soweit super funktioniert.

Das einzige Problem das sich mir stellt ist der hostbezogene Login eines angelegten Nutzers.


die user.ldif

#ldapadd -x -D "cn=admin,dc=domain,dc=tld" -W -f user.ldif
dn: uid=user,ou=users,dc=domain,dc=tld
objectClass: top
objectClass: account
objectClass: posixAccount
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/user
userPassword: {md5crypt}$1$geheim
loginShell: /bin/sh
uid: user
cn: Username
host: 192.168.1.155

Laut der bisherigen Google-recherche, muesste dies so passen, jedoch kann sich dieser user weiterhin ueber ssh auf anderen angeschlossenen Systemen anmelden.

 

[MarcoHensel]

ahh das geht wunderbar mit einem Eintrag in die ldap.conf -> @nss_ldap.conf usw.

ldap.conf beispiele

pam_filter &(objectClass=[COLOR="SeaGreen"]account[/COLOR])(host=<[COLOR="Blue"]ipdeshosts[/COLOR]>)
pam_filter &(objectClass=[COLOR="SeaGreen"]posixAccount[/COLOR])(uid=[COLOR="Blue"]admin[/COLOR])

pam.d/sshd

auth            [COLOR="Red"]required[/COLOR]      /usr/local/lib/pam_ldap.so           no_warn try_first_pass

wobei es auch besser ist, die pam_ldap.so ueber den pam_unix.so zu platzieren.


natuerlich kann man diesen Filter auch fuer andere Zwecke missbrauchen.

Schoenen Tag noch

 

[MrFixit]

Naja, so kann man es sicher auch loesen, nur ist das mit dem hart-kodieren der IP aus diversen Gruenden schlecht.

Eigentlich sollte sowas in der ldap.conf stehen:

pam_check_host_attr yes

Nur leider scheint das fuer FreeBSD nicht implementiert zu sein.

 

[MarcoHensel]

jo, leider, .. aber man muss hier nich zwingend ip adressen angeben, es funktioniert auch mit "schlag.mich.nicht-tot" .. je nachdem wie man den filter definiert ..