Le Mardi 7 Mars 2006 10:37, Christian PELISSIER a écrit : > Existe-t-il une manière de restreindre les logins LDAP sur un serveur > client d'un annuaire LDAP sans utiliser le mode compat (qui consiste à > ajouter des +username et +netgroup dans /etc/passwd). Par défault tout > l'annuaire peut se connecter quand > on a ceci dans /etc/nsswitch.conf. > > # the following two lines obviate the "+" entry in /etc/passwd and > /etc/group. > passwd: files ldap > group: files ldap Dans mon cas, avec un serveur OpenLDAP, je contrôle les autorisations via un filtre sur le champ NS_LDAP_SERVICE_SEARCH_DESC. Attention, il faut mettre un filtre aussi pour les attributs "shadow" et "user_attr".
ex: la sortie correspondante du ldapclient list ... NS_LDAP_SERVICE_SEARCH_DESC= shadow:ou=People,dc=bio,dc=ens,dc=fr?one NS_LDAP_SERVICE_SEARCH_DESC= user_attr:ou=People,dc=bio,dc=ens,dc=fr?one NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=People,dc=bio,dc=ens,dc=fr?one?|(userClass=A)(userClass=B) ... Ici, le filtrage peut se faire sur différents champs de l'annuaire (ici, un champ ad-hoc "userClass" qui nous sert à classer les utilisateurs). Cordialement, -- ------------------------------------------------------------------------ | Pierre Vincens - Departement de Biologie Tel: 01 44 32 36 36 | | Ecole Normale Superieure Fax: 01 44 32 36 30 | | Responsable Service Informatique | | 46, rue d'Ulm, 75230 PARIS CEDEX 05 E-mail: [EMAIL PROTECTED] | ------------------------------------------------------------------------
_______________________________________________ Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures Solaris_fr@x86.sun.com http://x86.sun.com/mailman/listinfo/solaris_fr
