pam_acces et application des modifs non prise en compte
pam_acces et application des modifs non prise en compte - Réseaux - Systèmes & Réseaux Pro
MarshPosté le 14-04-2010 à 14:25:29
Hello,
J'ai mis en place un système permettant de refuser les connexions par ssh à tout utilisateur n'étant pas dans le bon groupe.
Tout fonctionne à base de ldap. Mes users et mes groupes sont stockés dans mon arbre. D'un point de vue LDAP, tout marche, un getent group me renvoi bien tous mes groupes machine ainsi que mes groupes ldap, avec les bons users dans les bons groupes, et un getent passwd me renvoi de la même façon toutes les bonnes infos. J'en déduis qu'à ce stade on est bon.
J'ai rajouté account required pam_access.so (ou plutôt j'ai décommenté la ligne d'origine) dans mon /etc/pam.d/sshd et j'ai rajouté -:ALL EXCEPT root securityuser:ALL EXCEPT LOCAL dans mon /etc/security/access.conf. En d'autre terme, j'interdis la connexion par SSH à tous les utilisateurs, sauf les utilisateurs locaux, root, et les utilisateurs du groupe securityuser.
Mon problème est que lorsque je rajoute un utilisateur dans mon groupe securityuser, et que j'essaye de me connecter sur ce poste à travers ssh, je ne peux pas. Pourtant, quand je fais un getent group, mon user apparait bien dans le groupe securityuser ! Par contre, si je rééssaye dans l'heure suivante, ça marche...
donc là, je comprends pas très bien ce qui cloche, j'ai pensé à un problème de cache avec nscd, le temps qu'il se renouvelle, mais on m'a parlé de 15sec, on est loin des plusieurs dizaines de minutes que je dois attendre..
Marsh Posté le 14-04-2010 à 14:25:29
Hello,
J'ai mis en place un système permettant de refuser les connexions par ssh à tout utilisateur n'étant pas dans le bon groupe.
Tout fonctionne à base de ldap. Mes users et mes groupes sont stockés dans mon arbre. D'un point de vue LDAP, tout marche, un getent group me renvoi bien tous mes groupes machine ainsi que mes groupes ldap, avec les bons users dans les bons groupes, et un getent passwd me renvoi de la même façon toutes les bonnes infos. J'en déduis qu'à ce stade on est bon.
J'ai rajouté account required pam_access.so (ou plutôt j'ai décommenté la ligne d'origine) dans mon /etc/pam.d/sshd et j'ai rajouté -:ALL EXCEPT root securityuser:ALL EXCEPT LOCAL dans mon /etc/security/access.conf. En d'autre terme, j'interdis la connexion par SSH à tous les utilisateurs, sauf les utilisateurs locaux, root, et les utilisateurs du groupe securityuser.
Mon problème est que lorsque je rajoute un utilisateur dans mon groupe securityuser, et que j'essaye de me connecter sur ce poste à travers ssh, je ne peux pas. Pourtant, quand je fais un getent group, mon user apparait bien dans le groupe securityuser ! Par contre, si je rééssaye dans l'heure suivante, ça marche...
donc là, je comprends pas très bien ce qui cloche, j'ai pensé à un problème de cache avec nscd, le temps qu'il se renouvelle, mais on m'a parlé de 15sec, on est loin des plusieurs dizaines de minutes que je dois attendre..
quelqu'un a une idée ?