Bonjour,
Dans le cadre de l'installation d'un serveur de développement, je voudrais pouvoir authentifier certains de mes utilisateurs en utilisent Active Directory sur un contrôleur sous windows 2012 R2 avec une foret de niveau fonctionnel 2003.
Suite à l'execution de cette documentation [1] j'ai réussi à permettre l'authentification de mes utilisateurs ; néanmoins, dans la configuration actuelle, tous les utilisateurs du domaine peuvent s'authentifier sur la machine.
Je voudrais pouvoir restreindre le comportement au choix : - à des utilisateurs faisant partis d'un groupe particulier ex : user_a => machine_a_access - à des utilisateurs ayant au moins un groupe qui a comme groupe un autre groupe ex : user_a => projet_b => machine_a_access
[1] : https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
Merci beaucoup de votre aide Alexis Lameire
Le 18/02/2015 17:25, Alexis Lameire a écrit :
Bonjour,
Dans le cadre de l'installation d'un serveur de développement, je voudrais pouvoir authentifier certains de mes utilisateurs en utilisent Active Directory sur un contrôleur sous windows 2012 R2 avec une foret de niveau fonctionnel 2003.
Suite à l'execution de cette documentation [1] j'ai réussi à permettre l'authentification de mes utilisateurs ; néanmoins, dans la configuration actuelle, tous les utilisateurs du domaine peuvent s'authentifier sur la machine.
Je voudrais pouvoir restreindre le comportement au choix :
- à des utilisateurs faisant partis d'un groupe particulier ex : user_a => machine_a_access
- à des utilisateurs ayant au moins un groupe qui a comme groupe un autre groupe ex : user_a => projet_b => machine_a_access
[1] : https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
Merci beaucoup de votre aide Alexis Lameire _______________________________________________
Le module PAM winbind a une option require_membership_of. https://www.samba.org/samba/docs/man/manpages-3/pam_winbind.8.html
Il n'est pas préférable de gérer la chose au niveau de l'AD ? Sinon, j'utilise le module pam_sss, d'ou une nouvelle conf à établir dans ce cas là
Cordialement Alexis Lameire
Le 18 février 2015 22:19, Gilles Mocellin gilles.mocellin@nuagelibre.org a écrit :
Le 18/02/2015 17:25, Alexis Lameire a écrit :
Bonjour,
Dans le cadre de l'installation d'un serveur de développement, je voudrais pouvoir authentifier certains de mes utilisateurs en utilisent Active Directory sur un contrôleur sous windows 2012 R2 avec une foret de niveau fonctionnel 2003.
Suite à l'execution de cette documentation [1] j'ai réussi à permettre l'authentification de mes utilisateurs ; néanmoins, dans la configuration actuelle, tous les utilisateurs du domaine peuvent s'authentifier sur la machine.
Je voudrais pouvoir restreindre le comportement au choix :
- à des utilisateurs faisant partis d'un groupe particulier ex : user_a => machine_a_access
- à des utilisateurs ayant au moins un groupe qui a comme groupe un autre
groupe ex : user_a => projet_b => machine_a_access
[1] : https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
Merci beaucoup de votre aide Alexis Lameire _______________________________________________
Le module PAM winbind a une option require_membership_of. https://www.samba.org/samba/docs/man/manpages-3/pam_winbind.8.html
Liste de diffusion du FRsAG http://www.frsag.org/
Le 2015-02-19 09:32, Alexis Lameire a écrit :
Il n'est pas préférable de gérer la chose au niveau de l'AD ? Sinon, j'utilise le module pam_sss, d'ou une nouvelle conf à établir dans ce cas là
Ben oui, avec le module pam_winbind, c'est AD qui est interrogé, et le test d'appartenance à un groupe se fait coté AD !
Merci de ton coup de main, ça ma permis de chercher du bon coté.
Pour pouvoir utiliser le module pam_sss.so il suffit en fait de rajouter ces 2 lignes dans /est/sssd/sssd.conf
access_provider = ad ad_access_filter = FOREST:MyForest:(memberOf=MyGroupDN)
Merci beaucoup de ton aide Alexis Lameire
Le 19 février 2015 10:26, Gilles Mocellin gilles.mocellin@nuagelibre.org a écrit :
Le 2015-02-19 09:32, Alexis Lameire a écrit :
Il n'est pas préférable de gérer la chose au niveau de l'AD ? Sinon, j'utilise le module pam_sss, d'ou une nouvelle conf à établir dans ce cas là
Ben oui, avec le module pam_winbind, c'est AD qui est interrogé, et le test d'appartenance à un groupe se fait coté AD !
Liste de diffusion du FRsAG http://www.frsag.org/
-
Alexis Lameire -
Gilles Mocellin