Hallo zusammen, ich habe einen SuSE 10.2 Rechner der Mitglied in einer Domäne ist. Man kann sich jetzt mit seinem Domänenuser natürlich an der Konsole anmelden. Wie kann ich das nur für bestimmte User erlauben und für alle anderen verbieten? Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Frank Palvölgyi schrieb:
Hallo zusammen,
ich habe einen SuSE 10.2 Rechner der Mitglied in einer Domäne ist.
wie jetzt ... jeder Rechner hat einen Domainnamen ( = FQDN)... und max.moritz.lokal.lan emil.moritz.lokal.lan sind beide Mitglied bei moritz.lokal.lan ...
Man kann sich jetzt mit seinem Domänenuser natürlich an der Konsole anmelden.
Domänenuser - was meinst du damit konkret ? Anmeldemechanismus ?
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Fred, Fred Ockert schrieb:
Wir haben eine Active Directory Domäne mit dem Namen firmaxyz.com. Und der Server ist Member der Domäne.
In der Active Directory Domäne habe ich und diverse andere Leute ein Benutzerkonto. Mit diesem Benutzerkonto kann ich mich an der Konsole bzw. Telnet/ SSH an dem Server einloggen und auf der Konsole arbeiten. Jetzt soll das anmelden an Telnet, SSH, Konsole nur für bestimmte Leute erlaubt sein. Der User meier soll sich nicht anmelden dürfen. Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Frank Palvölgyi schrieb:
also muss der AD-DC das managen..?
hmm... wozu brauchts das ?? kann das Active Directory nicht die Shell vorgeben .... /bin/false und gut is!
Jetzt soll das anmelden an Telnet, SSH, Konsole nur für bestimmte Leute erlaubt sein. Der User meier soll sich nicht anmelden dürfen.
falsch: du meldest dich nicht bei Telnet an! ... du meldest dich am/für den Rechner an. Theoretisch der einfachste weg: es gibt keine gültige Shell ...da musst du mal buddeln ... wenn es den User auch local gibt ist es einfach /etc/passwd -> shell= /bin/false bei LDAP (AD) musst du das so durchreichen...alle anderen Dienste gehen - wenn sie keine Shell brauchen!
Frank
hier nur (?) Samba Domain ... da muss auf jeder Maschine ein User-Account sein.. einigeUser habe auch /bin/false... dann geht eben nur IMAP/POP/SMB usw. bei WinAD kenn ich mich da mit den Feinheiten der Konfiguration nicht so aus ein weiterer Trick geht über Gruppenzugehörigkeiten ... du konstruierst eine Unix Group die nicht "execute" darf das sollte gehen...der User kriegt eben auf sein /home auch keine execute Rechte (zusätzlich) alles Fummelei, aber: no execute = no Shell.... Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Freitag, 18. April 2008 um 15:46 (+0200) schrieb Frank Palvölgyi:
Sofern du 'pam_winbind' für die Authentifizierung verwendest, gibt es dort eine Option "require_membership_of=[SID or NAME]". (siehe 'man pam_winbind') Gruß Andreas -- XMMS spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas, Andreas Koenecke schrieb:
Ich habe jetzt require_membership_of konfiguriert, aber das funktioniert nicht richtig. Wenn ich eine Gruppe eintrage die es nicht gibt, dann kann man sich nicht einloggen. Soweit OK. Wenn ich eine gültige Gruppe eintrage, dann können sich die Gruppenmitglieder aber auch User die nicht Mitglied der Gruppe sind einloggen. Irgend eine Idee? Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Donnerstag, 24. April 2008 um 19:28 (+0200) schrieb Frank Palvölgyi:
Hast du auch mit der SID versucht? Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Andreas Koenecke schrieb:
Hast du auch mit der SID versucht?
In welcher Form muss man die SID angeben? Require_membership_of=S51-54...? Mit S oder ohne? Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Donnerstag, 01. Mai 2008 um 09:22 (+0200) schrieb Frank Palvölgyi:
Ich habe (glücklicherweise) noch nie gegen einen AD authentifizieren müssen und kann es deshalb nicht mit Sicherheit sagen: Aber ich vermute, dass es genauso angegeben werden muss, wie es 'wbinfo ...` ausgibt, also mit "S". Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Frank Palvölgyi schrieb:
Hallo zusammen,
ich habe einen SuSE 10.2 Rechner der Mitglied in einer Domäne ist.
wie jetzt ... jeder Rechner hat einen Domainnamen ( = FQDN)... und max.moritz.lokal.lan emil.moritz.lokal.lan sind beide Mitglied bei moritz.lokal.lan ...
Man kann sich jetzt mit seinem Domänenuser natürlich an der Konsole anmelden.
Domänenuser - was meinst du damit konkret ? Anmeldemechanismus ?
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Fred, Fred Ockert schrieb:
Wir haben eine Active Directory Domäne mit dem Namen firmaxyz.com. Und der Server ist Member der Domäne.
In der Active Directory Domäne habe ich und diverse andere Leute ein Benutzerkonto. Mit diesem Benutzerkonto kann ich mich an der Konsole bzw. Telnet/ SSH an dem Server einloggen und auf der Konsole arbeiten. Jetzt soll das anmelden an Telnet, SSH, Konsole nur für bestimmte Leute erlaubt sein. Der User meier soll sich nicht anmelden dürfen. Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Frank Palvölgyi schrieb:
also muss der AD-DC das managen..?
hmm... wozu brauchts das ?? kann das Active Directory nicht die Shell vorgeben .... /bin/false und gut is!
Jetzt soll das anmelden an Telnet, SSH, Konsole nur für bestimmte Leute erlaubt sein. Der User meier soll sich nicht anmelden dürfen.
falsch: du meldest dich nicht bei Telnet an! ... du meldest dich am/für den Rechner an. Theoretisch der einfachste weg: es gibt keine gültige Shell ...da musst du mal buddeln ... wenn es den User auch local gibt ist es einfach /etc/passwd -> shell= /bin/false bei LDAP (AD) musst du das so durchreichen...alle anderen Dienste gehen - wenn sie keine Shell brauchen!
Frank
hier nur (?) Samba Domain ... da muss auf jeder Maschine ein User-Account sein.. einigeUser habe auch /bin/false... dann geht eben nur IMAP/POP/SMB usw. bei WinAD kenn ich mich da mit den Feinheiten der Konfiguration nicht so aus ein weiterer Trick geht über Gruppenzugehörigkeiten ... du konstruierst eine Unix Group die nicht "execute" darf das sollte gehen...der User kriegt eben auf sein /home auch keine execute Rechte (zusätzlich) alles Fummelei, aber: no execute = no Shell.... Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Freitag, 18. April 2008 um 15:46 (+0200) schrieb Frank Palvölgyi:
Sofern du 'pam_winbind' für die Authentifizierung verwendest, gibt es dort eine Option "require_membership_of=[SID or NAME]". (siehe 'man pam_winbind') Gruß Andreas -- XMMS spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas, Andreas Koenecke schrieb:
Ich habe jetzt require_membership_of konfiguriert, aber das funktioniert nicht richtig. Wenn ich eine Gruppe eintrage die es nicht gibt, dann kann man sich nicht einloggen. Soweit OK. Wenn ich eine gültige Gruppe eintrage, dann können sich die Gruppenmitglieder aber auch User die nicht Mitglied der Gruppe sind einloggen. Irgend eine Idee? Frank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo. * Donnerstag, 24. April 2008 um 19:28 (+0200) schrieb Frank Palvölgyi:
Hast du auch mit der SID versucht? Gruß Andreas -- Amarok spielt gerade nichts... GPG-ID/Fingerprint: 6F28CF96/0B3B C287 30CE 21DF F37A AF63 A46C D899 6F28 CF96 GPG-Key on request or on public keyservers -- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Andreas Koenecke
-
Frank Palvölgyi
-
Fred Ockert