Re: Authentification LDAP et pb avec su

[Jean-Francois Zech]

2008/1/14 Emmanuel Lesouef [EMAIL PROTECTED]:
 Le Mon, 14 Jan 2008 15:08:43 +0100,
 Jean-Francois Zech [EMAIL PROTECTED] a écrit :

  Bonjour,

 BOnsoir,

 
  Il est possible que l'authentification ne se fasse QUE sur base des
  comptes LDAP. (Dangereux, car si la db crashe, tu n'auras plus accès à
  ta machine)

 Non, non, mais ce n'est pas le cas.

 
  - que te donne la commande getent passwd ? Vois-tu le compte root ?
  (Si tu le vois deux fois; une entrée lue dans les comptes locaux et
  une entrée de la db LDAP)

 Je vois bien le compte root. Pas de comptes en doubles.

 



Un truc peut-être con, mais pourquoi pas:

- Tu peux te logguer avec une autre user qui a comme shell /bin/bash ?

- Comme apparement ton compte root n'existe qu'en local, crée le dans
ta db LDAP et essaye de te logguer en root.

Si tu as trouvé entre temps, dis le nous, ca m'intéresse!

Bien à toi,



  - Qu'y a t'il dans ton fichier /etc/nsswitch.conf ?
  Normalement, tu devrais entre autre avoir ceci ou similaire:
  passwd: compat ldap
  group:  compat ldap
  shadow: compat ldap

 C'est trés exactement le cas :)

 
 
  Bien à toi,

 Merci de ton aide.

 
  PS:
  Autre possibilité; l'entrée loginShell est à /dev/null pour le
  compte root du LDAP. (dans le cas où l'authentification passe
  uniquement par le ldap. Et ce n'est pas une bonne idée)

 Du coup, le root est toujours local, pas de soucis de ce coté là...

 --
 Emmanuel Lesouef
 DSI | CRBN
 t: 0231069671
 e: [EMAIL PROTECTED]

Re: Authentification LDAP et pb avec su

[Jean-Francois Zech]

2008/1/15 Emmanuel Lesouef [EMAIL PROTECTED]:
 Le Tue, 15 Jan 2008 10:43:05 +0100,
 Jean-Francois Zech [EMAIL PROTECTED] a écrit :

 
  Un truc peut-être con, mais pourquoi pas:
 
  - Tu peux te logguer avec une autre user qui a comme
  shell /bin/bash ?

 Ca oui, pas de soucis :)

 
  - Comme apparement ton compte root n'existe qu'en local, crée le dans
  ta db LDAP et essaye de te logguer en root.

 Ca c'est une excellente idée mais... non, pas mieux.



Et ce compte root dans ton LDAP, a-t'il le uidNumber 0 et gidNumber 0 ?


 
  Si tu as trouvé entre temps, dis le nous, ca m'intéresse!

 Pas encore mais j'ai pas eu le temps d'y remettre le nez depuis hier...

 
  Bien à toi,
 
 

 Merci encore, j'y retourne

 --
 Emmanuel Lesouef

Re: Authentification LDAP et pb avec su

[Jean-Francois Zech]

Bonjour,

Il est possible que l'authentification ne se fasse QUE sur base des
comptes LDAP. (Dangereux, car si la db crashe, tu n'auras plus accès à
ta machine)

- que te donne la commande getent passwd ? Vois-tu le compte root ?
(Si tu le vois deux fois; une entrée lue dans les comptes locaux et
une entrée de la db LDAP)

- Qu'y a t'il dans ton fichier /etc/nsswitch.conf ?
Normalement, tu devrais entre autre avoir ceci ou similaire:
passwd: compat ldap
group:  compat ldap
shadow: compat ldap


Bien à toi,

PS:
Autre possibilité; l'entrée loginShell est à /dev/null pour le
compte root du LDAP. (dans le cas où l'authentification passe
uniquement par le ldap. Et ce n'est pas une bonne idée)


2008/1/14 DUFRESNE, Mathias (STERIA) [EMAIL PROTECTED]:
 Salut,

 J'ai jamais eu ce problème, mais j'ai jamais utilisé cette option relative 
 aux UID.
 Je rajoute juste une ligne par section (passwd, account, session...) avec un 
 truc qui ressemble à :
 account sufficient pam_ldap.so use_first_pass

 Cordialement,

 mathias

 -Original Message-
 From: Jean-Yves F. Barbier [mailto:[EMAIL PROTECTED]
 Sent: lundi 14 janvier 2008 11:48
 To: Emmanuel Lesouef
 Cc: DUF
 Subject: Re: Authentification LDAP et pb avec su


 Emmanuel Lesouef a écrit :
  Bonjour,
 
  Voilà, j'ai une authentification LDAP centralisé de plusieurs machines
  qui fonctionne vraiment bien. Pas de soucis.
 
  Or, depuis la mise en place de cette authentification LDAP, je ne peux
  plus me connecter en root, que ce soit en direct ou en su.

 ...

  Et voilà le contenu de mon /etc/pam.d/common-auth :
 
  authrequired pam_unix.so
  authrequisitepam_succeed_if.so uid = 1000 quiet

 à vue de nez, ça serait ici que ça pêche: pam veut UID=1000, alors
 que UID root = 0

 mais avant de tripoter les confs de pam, je serais toi je me documenterais
 à fond, parce qu'il n'y a rien de plus facile pour rendre une machine
 inutilisable que de toucher à la conf de pam
 --
 Most Texans think Hanukkah is some sort of duck call.
 -- Richard Lewis


 --
 Lisez la FAQ de la liste avant de poser une question :
 http://wiki.debian.net/?DebianFrench
 Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et
 Reply-To:

 To UNSUBSCRIBE, email to [EMAIL PROTECTED]
 with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]


 This mail has originated outside your organization, either from an external 
 partner or the Global Internet.
 Keep this in mind if you answer this message.



 This e-mail is intended only for the above addressee. It may contain 
 privileged information.
 If you are not the addressee you must not copy, distribute, disclose or use 
 any of the information in it.
 If you have received it in error please delete it and immediately notify the 
 sender.
 Security Notice: all e-mail, sent to or from this address, may be accessed by 
 someone other than the recipient, for system management and security reasons. 
 This access is controlled under Regulation of security reasons.
 This access is controlled under Regulation of Investigatory Powers Act 2000, 
 Lawful Business Practises.