On 13.7.2010, at 12:51, Radek Krejča wrote: > Ahoj, > Dne 13.7.2010 11:04, Jan Pechanec napsal(a): >> tim nerikam, ze linuxovy mkhomedir modul funguje na FreeBSD, nikdy >> jsem to nezkousel. > mkhomedir mi fungoval na FreeBSD, ověřovalo se oproti OpenLDAP. Ale už > je to "dlouho" mašina byla tuším 6.x a teď již není v provozu. > > > Na radiusu netrvam, mam jeste ActiveDirectory, takze muzu i proti LDAPU, na > to jsem se zatim nekoukal - nicmene zalozit uzivatele je tam jeste > jednodussi, nez v radiusu, klidne si to prepisu. Otazkou tedy jde, zda > existuje moznost, jak po prihlasovani vytvorit pripadne neexistujici home + > omezit uzivatele skupinou (aby se mi tam nehlasil kazdy, kdo je v AD, ale jen > vybrana grupa). Mozna by to AD bylo jeste elegantnejsi, nez radius. >
No tak pokud je k dispozici LDAP, tak neni co resit, na to je tisice navodu :) > > Pravdou je, ze na overovani proti LDAPu jsem zatim nekoukal, tam asi bude > navodu, doufam, vice, nez se mi podarilo najit pro radius. Kazdopadne cilem > hry je najit co nejjednodussi reseni, v tuto chvili zakladam uzivatele > scriptem, problem nastava, kdyz nekdo odchazi, nebo meni heslo, apod. Pokud > ma byt rozbehnuti centralniho overovani na mesice zkouseni a testovani, > odpada tim puvodni zamer a je to pro me v podstate jiz nezajimave. > 1. pam-ldap a nss-ldap jsou v portech a funguji podle mych zkusenosti bezproblemove (akorat to asi bude chtit doplnit nejakym cachovanim, treba nscd) 2. pokud by pam-mkhome fungoval i na FBSD outofthebox, je celkem po problemu 3. omezit, kdo z LDAPu se muze prihlasovat pres ssh se da ruznyma zpusobama - jenom tak ciste z placu me napada, 1] jsou to uzivatele, kteri jsou v nejake casti LDAP stromu - potom pro pam-ldap nastavit tenhle podstrom jako koren nebo 2] uzivatele dat do nejake ldapove skupiny a pam-ldapu nastavit filtr, pres kterej projdou jenom uzivatele v te skupine zarazeni 3] ten samej filtr dat do konfigurace nss-ldap, takze ti uzivatele se vubec nezobrazi v getent passwd. Akorat je teda otazka, jak se bude chovat ssh - jestli on si potvurka jedna treba neoveruje, jestli existuje uzivateluv home. Jednou jsem na nejakou takovou vec narazil, ale detaily uz si nepamatuju - mozna slo o to, ze uzivatel mel nastavenej nejakej shell, kterej se sshcku nelibil a uzivatele proste nepustil. Nebo mozna to byl ten neexistujici home, to chce zkusit. M. -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
