Авторизация для shell при сторонней аутентификации

Anatoly Gerasimov написал(а) к All в Mar 15 12:59:58 по местному времени:

Нello All,

Предположим, я настроил авторизацию с использованием windows домена. Теперь любой пользователь может зайти на сервер, предъявив учетные данные windows - домена. В принципе, так и должно быть, но хотелось бы каким-либо образом авторизовать для доступа в shell определённое, малое подмножество всех пользователей AD, которым по большому счету делать на серверах нечего. Как такое принято делать в linux? Самому в голову приходит лишь выбрать некоторый ресурс, критически важный для доступа в shell, разрешить доступ к нему лишь определённой группе, которую и отобразить на одну из групп в AD. Не забыв при этом про локальных пользователей, которым доступ тоже нужен. Выглядит это весьма старомодно. Остальные идеи не лучше.


WBR Anatoly.
--- GoldED+/W32-MINGW 1.1.5-b20061116

Nikolay Simonov написал(а) к Anatoly Gerasimov в Mar 15 00:22:16 по местному времени:

Anatoly, давай выпьем чая?


[16 Mar 15, 12:59] Anatoly Gerasimov => All:
AG> Предположим, я настроил авторизацию с использованием windows домена.
AG> Теперь любой пользователь может зайти на сервер, предъявив учетные
AG> данные windows - домена. В принципе, так и должно быть, но хотелось бы
AG> каким-либо образом авторизовать для доступа в shell определённое,
AG> малое подмножество всех пользователей AD, которым по большому счету
AG> делать на серверах нечего. Как такое принято делать в linux?

Эм.. я бы начал гуглить со слов winbind, ssh, groups. Ведь для авторизации в AD используются группы - логично было бы использовать их для того, чтобы разрешить/запретить доступ. Почему это старомодно? Еще как workaround приходит на ум прописывать для пользователей шеллом по умолчанию какое-то приложение, которое просто выводит MOTD и так и висит.

AG> Самому в голову приходит лишь выбрать некоторый ресурс, критически важный
AG> для доступа в shell, разрешить доступ к нему лишь определённой группе,
AG> которую и отобразить на одну из групп в AD. Не забыв при этом про
AG> локальных пользователей, которым доступ тоже нужен. Выглядит это
AG> весьма старомодно. Остальные идеи не лучше.

Не понял про ресурс и локальных пользователей. Или shell - это необязательно по сети? Если прям локальных юзеров, то нужна только консоль или гуй тоже может понадобиться?

Так или иначе, Red Нat невозбранно пилят довольно классную вещь - Identity Management (на FreeIPA). В седьмой Центоси оно доступно и работает.

Вот, например, описание:

https://access.redhat.com/documentat...omp-trust-dirs

--
С уважением, Николай.
Jabber: teabbs@jabber.ru
... А в небе надо мной все та же звезда, не было другой и не будет.
--- GoldED+/LNX 1.1.5-b20130910, CentOS Linux release 7.0.1406 (Core)

Anatoly Gerasimov написал(а) к Nikolay Simonov в Mar 15 15:31:48 по местному времени:

Нello Nikolay,

20 Mar 15, Nikolay Simonov (2:5020/8080.1) wrote to Anatoly Gerasimov:

AG>> Предположим, я настроил авторизацию с использованием windows
AG>> домена. Теперь любой пользователь может зайти на сервер,
AG>> предъявив учетные данные windows - домена. В принципе, так и
AG>> должно быть, но хотелось бы каким-либо образом авторизовать для
AG>> доступа в shell определённое, малое подмножество всех
AG>> пользователей AD, которым по большому счету делать на серверах
AG>> нечего. Как такое принято делать в linux?

NS> Так или иначе, Red Нat невозбранно пилят довольно классную вещь -
NS> Identity Management (на FreeIPA). В седьмой Центоси оно доступно и
NS> работает.

Спасибо. Всё оказалось, как всегда, очень просто. Доступ настраивается через файл /etc/security/pam_winbind.conf. Вообще, вся эта конфигурация с авторизацией в домене настраивается гораздо проще чем в разнообразных НowTo и FAQ. Буквально, 5-7 команд.

WBR Anatoly.
--- GoldED+/W32-MINGW 1.1.5-b20061116

Nikolay Simonov написал(а) к Anatoly Gerasimov в Apr 15 11:08:38 по местному времени:

Anatoly, давай выпьем чая?


[23 Mar 15, 15:31] Anatoly Gerasimov => Nikolay Simonov:
NS>> Так или иначе, Red Нat невозбранно пилят довольно классную вещь
NS>> - Identity Management (на FreeIPA). В седьмой Центоси оно
NS>> доступно и работает.
AG> Спасибо. Всё оказалось, как всегда, очень просто. Доступ настраивается
AG> через файл /etc/security/pam_winbind.conf.

О, значит, мое начальное предложение гуглить про winbind имело шансы на успех =)

AG> Вообще, вся эта
AG> конфигурация с авторизацией в домене настраивается гораздо проще чем в
AG> разнообразных НowTo и FAQ. Буквально, 5-7 команд.

Да уж, бывает :( Перед тем, как увидеть что в Identity Management авторизация в Samba поднимается в одну команду, я почти полез добавлять кастомные атрибуты в LDAP-схему и сочинять процедуру для их генерации.

--
С уважением, Николай.
Jabber: teabbs@jabber.ru
... А в небе надо мной все та же звезда, не было другой и не будет.
--- GoldED+/LNX 1.1.5-b20130910, CentOS Linux release 7.1.1503 (Core)