Ldap и sudo
black_hell 26 марта, 2007 - 11:25
Здравствуйте.
Вопрос состоит в том:
Подключаюсь к ldap, оттуда беру пользователей, пароли. Они у меня авторизируюються по ssh. все класно.
Проблема состоит в том, что в sudoers, прописаны правила на определенные группы пользывателей для запуска определенных скриптов. sudo же подхватывает только те группы которые прописаны в group. как сделать чтобы подхватывал группы с ldap?
»
- Для комментирования войдите или зарегистрируйтесь
__и что никаких
__и что никаких вариантов?_______________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
по ldap напрямую
по ldap напрямую или через pam?
_________________
Core2Duo ~x86 4gb ram kde
Через
Через pam
________________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
http://forums.gentoo.org/viewtopic-t-385596-highlight-sudo+ldap.html
если короче - попробуй собери sudo без ldap use флага
_________________
Core2Duo ~x86 4gb ram kde
так у меня
так у меня собрано без ldap use флага
_________________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
А команда getent
А команда getent group показывает группы с лдапа?
показывает. С
показывает. С этим все ок.
сама загвоздка в sudo. как мне кажеться
_______________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
телепаты в
телепаты в отпуске
/etc/nsswich.con
/etc/pam.d/sudo
какой сервак ldap ?
_______________________
Sudo & nscd
To enable ldap users easy access to sudo, the sudoers table needs to contain the user group (LinuxUsers) in the AD. Sudo reads the entries from Name Service Cache Daemon (NSCD) that sits between the applications using name services and the mechanisms providing those name services. It caches name service data and improves response times.
Without NSCD, an application makes a call to one of the standard libc function calls: getxxnam(), getxxuid(), getxxent(), and getxbyy(). NSS then dynamically loads the correct module for the name service mechanism specified in /etc/nsswitch.conf. With NSCD, the application still makes the same call, but now the corresponding libc function actually calls NSCD through an Inter-Process Communication (IPC) call. If NSCD has cached the data required by the application, it returns it; otherwise, it calls the NSS module in the usual way.
_________________________________________
т.е. может попробовать запустить nscd? (входит в glibc)
/etc/init.d/nscd start
_________________
Core2Duo ~x86 4gb ram kde
/etc/nsswitch.conf
_________________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
/etc/init.d/nscd
/etc/init.d/nscd start
сделал...
тот же результат, если пользыватель прописан в /etc/group то через sudo пускает выполнение скрипта, если убираю, то не пускает. :(
Хотя под пользывателем ввожу groups то показывает что пользыватель находиться в нужной группе для выполнения скрипта...
_________________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
а если в nsswich.conf
а если в nsswich.conf поставить group:ldap первым? и ребутнуть nscd
_________________
Core2Duo ~x86 4gb ram kde
извените.
/etc/init.d/nscd start
помогло. Все нормально. Спасибо за помощь.
вопрос закрыт
_________________
Бороться, Искать. Найти и НЕЗДАВАТЬСЯ!
ну и последний
ну и последний штрих - [SOLVED] в топик 1 поста )
удачи )
_________________
Core2Duo ~x86 4gb ram kde