Von: "Karsten Künne" <karsten.kuenne@gmail.com>
Das ist krank, so was habe ich ja noch nie gesehen. Viel zu umständlich. Ja du hast recht deswegen wollte ich es ja ändern.
Schon besser, aber den Ast mit den Hostnamen würde ich weglassen. Soweit ich weiss, unterstützt pam_ldap doch das "host"-Attribut. D.h., zu jedem User-Object fügst Du ein Attribut "host=hostname" hinzu und pam_ldap sorgt dann dafür, dass sich der User nur auf diesem Host einloggen kann. Das host-Attribut kann auch mehrfach auftreten. Danke für den Tip :) Ich habs gefunden, dass ist genau das was ich gesucht habe! Aber irgendwie funkt das mit :( Ich hab dem User ldap_user1 über phpLDAPadmin das Attribut "host" hinzugefügt. Dem Attribut habe ich dann einen Maschinen Namen angefügt mars. Auf in der ldap.conf der Maschine mars habe ich dann folgenden eintrag eingestellt:
pam_check_host_attr yes Wenn ich dann mit getent passwd eine Abfrage starte, werden mir trozdem alle User angezeigt, was mache ich falsch?
Mit dem "host"-Attribut wie oben beschrieben. Die ACL's können dabei recht freizügig sein, solange das "userpassword"-Attribut (oder wo immer das Passwort drin steht) geschätzt bleibt. Ich habe z.B. die folgende ACL bei uns drin:
access to attr=userpassword by self =wcx by group="cn=administrators,..." write by anonymous auth by * none
Der Rest ist frei lesbar von allen ("by * read"), da stehen ja i.A. keine Geheimnisse drin. Jupp, hab ich jetzt auch so eingestellt.
Gruss, Karsten. Danke und Gruß Luisa Merenda
-- Bis zu 70% Ihrer Onlinekosten sparen: GMX SmartSurfer! Kostenlos downloaden: http://www.gmx.net/de/go/smartsurfer