Hier ist ganz genau erklärt, was ich haben will.
Mit OpenLDAP/Slapd geht das offenbar nicht.
https://cwiki.apache.org/confluence/pag ... d=66854729
lg scientific
LDAP: groupOfNames
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: LDAP: groupOfNames
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: LDAP: groupOfNames
Da es mir keine Ruhe lässt...
Ich hab jetzt rausgefunden, dass die Option
ldap_use_tokengroups = false
die Suche in nested Groups unterbindet. Habe diese Option entfernt (irgendwo in einem Tutorial war die angegeben, seitdem hatte ich sie in der Config)
Nachdem ich dann sssd neu gestartet habe und den cache geleert (sssctl cache-remove), sehe ich mit id $USERNAME die Gruppe, welche dies anderen Gruppen beinhaltet.
Um es klarer zu sagen:
Die Gruppe "3000(allowed_users)" beinhaltet unter anderem "30000(sysadmins)" und in dieser wiederum ist "2000(scientific)"
id scientific ergibt dann auszugsweise:
uid=2000(scientific) gid=2000 3000(allowed_users) ... 30000(sysadmins)
Mit verboteten tokengroups fehlte darin die Gruppe 3000.
Aber der
ldap_access_filter = memberof=cn=allowed_users,ou=meinhost,ou=hosts,dc=example,dc=com
der auf genau die richtige Gruppe zeigt, liefert mir dann, dass nichts gefunden wird und verweigert den Zutritt.
Ich hab jetzt rausgefunden, dass die Option
ldap_use_tokengroups = false
die Suche in nested Groups unterbindet. Habe diese Option entfernt (irgendwo in einem Tutorial war die angegeben, seitdem hatte ich sie in der Config)
Nachdem ich dann sssd neu gestartet habe und den cache geleert (sssctl cache-remove), sehe ich mit id $USERNAME die Gruppe, welche dies anderen Gruppen beinhaltet.
Um es klarer zu sagen:
Die Gruppe "3000(allowed_users)" beinhaltet unter anderem "30000(sysadmins)" und in dieser wiederum ist "2000(scientific)"
id scientific ergibt dann auszugsweise:
uid=2000(scientific) gid=2000 3000(allowed_users) ... 30000(sysadmins)
Mit verboteten tokengroups fehlte darin die Gruppe 3000.
Aber der
ldap_access_filter = memberof=cn=allowed_users,ou=meinhost,ou=hosts,dc=example,dc=com
der auf genau die richtige Gruppe zeigt, liefert mir dann, dass nichts gefunden wird und verweigert den Zutritt.
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
[GELÖST] Re: LDAP: groupOfNames
JETZT KLAPPT ES!!!!!
Ich verwende statt dem access_provider = ldap einfach simple.
In
simple_allow_groups = allowed_users
eintragen, und schon funktionieren die nested Groups!!!
YEAH!!!!!
lg scientific
Ich verwende statt dem access_provider = ldap einfach simple.
In
simple_allow_groups = allowed_users
eintragen, und schon funktionieren die nested Groups!!!
YEAH!!!!!
lg scientific
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Re: LDAP: groupOfNames
wow, da hat sich dein Durchhaltevermögen aber gelohnt! Glückwunsch
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: LDAP: groupOfNames
Aufgeben tut man einen Brief
Ich bin noch am experimentieren, da ich mit der Searchbase für die User noch nicht zufrieden bin. Ich möchte nur die für den jeweiligen Rechner relevanten und erlaubten User abfragen, und nicht auf jedem Rechner alle User und alle Gruppen.
Bei den Gruppen ist es mir schon gelungen, sie zu beschränken. Bei den Usern noch nicht.
Aber das ist nur noch ein kosmetisches Problem. Und das lös ich auch noch.
lg scientific
PS: Soll ich die sssd.conf posten? Wäre wohl sinnvoll. Ich hols noch nach.
Ich bin noch am experimentieren, da ich mit der Searchbase für die User noch nicht zufrieden bin. Ich möchte nur die für den jeweiligen Rechner relevanten und erlaubten User abfragen, und nicht auf jedem Rechner alle User und alle Gruppen.
Bei den Gruppen ist es mir schon gelungen, sie zu beschränken. Bei den Usern noch nicht.
Aber das ist nur noch ein kosmetisches Problem. Und das lös ich auch noch.
lg scientific
PS: Soll ich die sssd.conf posten? Wäre wohl sinnvoll. Ich hols noch nach.
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main