LDAP: groupOfNames

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
scientific
Beiträge: 2972
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP: groupOfNames

Beitrag von scientific » 15.04.2018 22:55:25

Hier ist ganz genau erklärt, was ich haben will.
Mit OpenLDAP/Slapd geht das offenbar nicht.

https://cwiki.apache.org/confluence/pag ... d=66854729

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 2972
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP: groupOfNames

Beitrag von scientific » 16.04.2018 11:24:12

Da es mir keine Ruhe lässt...

Ich hab jetzt rausgefunden, dass die Option
ldap_use_tokengroups = false
die Suche in nested Groups unterbindet. Habe diese Option entfernt (irgendwo in einem Tutorial war die angegeben, seitdem hatte ich sie in der Config)

Nachdem ich dann sssd neu gestartet habe und den cache geleert (sssctl cache-remove), sehe ich mit id $USERNAME die Gruppe, welche dies anderen Gruppen beinhaltet.

Um es klarer zu sagen:
Die Gruppe "3000(allowed_users)" beinhaltet unter anderem "30000(sysadmins)" und in dieser wiederum ist "2000(scientific)"

id scientific ergibt dann auszugsweise:
uid=2000(scientific) gid=2000 3000(allowed_users) ... 30000(sysadmins)

Mit verboteten tokengroups fehlte darin die Gruppe 3000.

Aber der
ldap_access_filter = memberof=cn=allowed_users,ou=meinhost,ou=hosts,dc=example,dc=com
der auf genau die richtige Gruppe zeigt, liefert mir dann, dass nichts gefunden wird und verweigert den Zutritt.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

scientific
Beiträge: 2972
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

[GELÖST] Re: LDAP: groupOfNames

Beitrag von scientific » 16.04.2018 13:41:03

JETZT KLAPPT ES!!!!!

Ich verwende statt dem access_provider = ldap einfach simple.
In
simple_allow_groups = allowed_users
eintragen, und schon funktionieren die nested Groups!!!

YEAH!!!!! :THX: :mrgreen:

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
ThorstenS
Beiträge: 2781
Registriert: 24.04.2004 15:33:31

Re: LDAP: groupOfNames

Beitrag von ThorstenS » 16.04.2018 21:03:27

wow, da hat sich dein Durchhaltevermögen aber gelohnt! Glückwunsch :-)

scientific
Beiträge: 2972
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: LDAP: groupOfNames

Beitrag von scientific » 16.04.2018 21:42:12

Aufgeben tut man einen Brief :lol: :lol: :lol:

Ich bin noch am experimentieren, da ich mit der Searchbase für die User noch nicht zufrieden bin. Ich möchte nur die für den jeweiligen Rechner relevanten und erlaubten User abfragen, und nicht auf jedem Rechner alle User und alle Gruppen.
Bei den Gruppen ist es mir schon gelungen, sie zu beschränken. Bei den Usern noch nicht.
Aber das ist nur noch ein kosmetisches Problem. Und das lös ich auch noch.

lg scientific

PS: Soll ich die sssd.conf posten? Wäre wohl sinnvoll. Ich hols noch nach.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten