[gelöst]SLES10 Userauthentifizierung am Active Directory

Moin Moin zusammen,

ich bastel momentan über Samba, Kerberos, Winbind und Pam eine Lösung mit der sich die User mit ihren Anmeldedaten der Windowsdomäne an der Linuxmaschine anmelden können.

Soweit so gut....
- Rechner ist in der Windowsdomäne
- Verbindung zum ADS steht
- wbinfo funktioniert
- Login mit den Windowsanmeldedaten funktioniert

Klingt erstmal gut.

jetzt möchte ich aber nicht, dass sich alle User der Domäne per shh oder direkt am Rechner selbst anmelden dürfen.
Ich würde dies gerne auf einen Teil des ADS beschränken.
Ob nun auf eine OU oder eine Gruppe aus wbinfo ist mir relativ egal

Wie bekomme ich das hin?!

kann ich sowas wie "valid users" auch global verwenden?!

Als Shell für die Benutzer /bin/false festlegen.

Moin s4shhh,

möchtest du das sich manche User auf keinem Linux-Rechner z.B. per SSH einloggen können oder willst du für jeden Rechner entscheiden wer sich einloggen können soll ?

Im ersten Fall kann du für diese User, wie stka gesagt hat die Shell auf /bin/false setzen.

Im zweiten Falll wird es komplizierter

Bei SSH bleibt die Lösung noch recht einfach ... einfach in der Konigurationsdatei des SSH Servers in "AllowGroups" die entsprechenden Gruppen eintragen ...

Für das Login dierekt auf dem Rechner habe ich auf Anhieb keine Lösung, ich könnte mir aber vorstellen das irgend ein PAM Modul auch Zugehörigkeit einer Gruppe testen kann.

So long

ThomasF

Login direkt am PC ist vom Tisch, da dieser Zugriff nur im Serverraum oder per Avocent (User muss die Erlaubnis haben) möglich ist.

Den Zugriff der ssh habe ich nun durch die Datei /etc/security/pam_winbind.conf beschränkt.
Dies geht über die Option: require_membership_of =

Dort wird die Gruppe aus dem ADS eingetragen und wie von Zauberhand können nur noch die User dieser Gruppe zugreifen.

SOMIT GELÖST