PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : winbind: Zugriff auf bestimmte AD Gruppen beschränken



M@rio
27.10.07, 13:51
Hi!

Ich hab da ein kleines Problem mit winbind. Prinzipiell funzt das ja, ich kann mich mit meinem AD User am Linux- Server anmelden. So wie alle anderen im AD auch :-/

Ich würde das aber gerne auf die wenigen Gruppen beschränken, die das auch tatsächlich können sollen. Das wären wir (Linux-) SysAdmins und unsere (internen) Kunden, also die jeweiligen Applikationsbetreuer wie Webadmins, DB- Admins und so weiter. Ich wollte das mit pam_listfile regeln und hab dafür eine Zeile

account required pam_listfile.so item=group sense=allow onerr=fail file=/etc/allowd_adgroups

in die /etc/pam.d/common-account eingefügt. Das haut aber nicht so ganz hin. Lasse ich die Zeile weg, kann ich mich einloggen und sehe mit groups auch meine Gruppen. Füge ich die Zeile wieder hinzu, kann ich mich nicht einloggen. (Klar: /etc/allowd_adgroups ist noch leer.) Schreibe ich dann die erste Gruppe, der ich angehöre, nach /etc/allowd_adgroups, kann ich mich wieder einloggen. Soweit ist das ja noch alles ok. Ändere ich diesen Eintrag aber auf die 2., 3., nte meiner Gruppen, wird mir der Login verweigert. Ist das ein bekanntes Problem oder mache ich einfach irgendwas falsch?

greez

Mario