Hallo Leute,
unter SuSE Linux 9.1 habe ich OpenLDAP konfiguriert (/etc/openldap), damit Postfix eine User-Authentifikation vornehmen kann. Jedoch ist es den LDAP-Usern jetzt auch gestattet, sich am System anzumelden und eine Shell zu erhalten. Das ist nicht erwünscht.
Wo müsste ich bei SuSE Linux ansetzen, um dies zu verhindern? </etc/pam.d/sshd> #%PAM-1.0 auth required pam_unix2.so # set_secrpc auth required pam_nologin.so auth required pam_env.so account required pam_unix2.so account required pam_nologin.so password required pam_pwcheck.so password required pam_unix2.so use_first_pass use_authtok session required pam_unix2.so none # trace or debug session required pam_limits.so # Enable the following line to get resmgr support for # ssh sessions (see /usr/share/doc/packages/resmgr/README.SuSE) #session optional pam_resmgr.so fake_ttyname <---------------->
Anscheinend ist das pam_unix2.so-Modul ein Universalmodul, das außer NIS und passwd auch LDAP-Anfragen bearbeitet. Leider ist pam_unix.so nur eine Kopie von pam_unix2.so. Gibt es ein Pam-Modul für SuSE-Linux, das ausschließlich auf Basis der passwd-Datei arbeitet, bzw. kann man unix2 mit einem Parameter irgendwie zu diesem Verhalten bewegen?
Gruß Matthias
Matthias Petermann schrieb:
Hallo Leute,
Hi,
unter SuSE Linux 9.1 habe ich OpenLDAP konfiguriert (/etc/openldap), damit Postfix eine User-Authentifikation vornehmen kann. Jedoch ist es den LDAP-Usern jetzt auch gestattet, sich am System anzumelden und eine Shell zu erhalten. Das ist nicht erwünscht.
Wo müsste ich bei SuSE Linux ansetzen, um dies zu verhindern?
[...] Du suchst http://tldp.org/HOWTO/LDAP-Implementation-HOWTO/
MfG -Dimitri
Matthias Petermann:
unter SuSE Linux 9.1 habe ich OpenLDAP konfiguriert (/etc/openldap), damit Postfix eine User-Authentifikation vornehmen kann. Jedoch ist es den LDAP-Usern jetzt auch gestattet, sich am System anzumelden und eine Shell zu erhalten. Das ist nicht erwünscht.
Löst die Shell /bin/false evtl. dein Problem?
Freundlich grüßend, Erik
Hallo Erik,
On Mon, 28 Jun 2004 13:33:36 +0200 (MEST) "Erik Schanze" Schanzi_@gmx.de wrote:
Löst die Shell /bin/false evtl. dein Problem?
Daran hatte ich auch schon gedacht. Allerdings wird das Attribut "shell" für jeden Nutzer aus dem LDAP gezogen. Das zu manipulieren dürfte schwer werden.
Viele Grüße Matthias
Hallo!
Am Montag, 28. Juni 2004 11:55 schrieb Matthias Petermann:
unter SuSE Linux 9.1 habe ich OpenLDAP konfiguriert (/etc/openldap), damit Postfix eine User-Authentifikation vornehmen kann. Jedoch ist es den LDAP-Usern jetzt auch gestattet, sich am System anzumelden und eine Shell zu erhalten. Das ist nicht erwünscht.
Wo müsste ich bei SuSE Linux ansetzen, um dies zu verhindern?
In /etc/security/pam_unix2.conf
Hier wird für das Modul pam_unix2.so konfiguriert, wo es nach Nutzern suchen soll. Wenn Du also keine Nutzer darin sehen willst, musst Du den Parameter use_ldap bei auth: account: und password: herausnehmen. Das gilt dann aber für _alle_ PAM-Einträge.
Anschließend muss bei dem Dienst, der freigegeben werden soll, die /etc/pam.d/<dienst> so angepasst werden, dass z.B. auth sufficient pam_ldap.so eingetragen wird.
Gruss Reiner
Hallo Reiner,
On Mon, 28 Jun 2004 17:01:22 +0200 Reiner Klaproth klaproth@online.de wrote:
In /etc/security/pam_unix2.conf
Hier wird für das Modul pam_unix2.so konfiguriert, wo es nach Nutzern suchen soll. Wenn Du also keine Nutzer darin sehen willst, musst Du den Parameter use_ldap bei auth: account: und password: herausnehmen. Das gilt dann aber für _alle_ PAM-Einträge.
Vielen Dank - das habe ich (verzweifelt) gesucht.
Gruß Matthias
lug-dd@mailman.schlittermann.de
-
Erik Schanze -
Matthias Petermann -
Reiner Klaproth -
tristan-777@t-online.de