sirmax Posted May 9, 2016 Доброго дня! Во-первых, всех с Днем Победы! Теперь собственно к вопросу. Предистория: Есть некоторые сервера, куда ходят (в том числе рутом) инженеры "дружественных" компаний. (в дальнейшем именуемые "индусы" какой бы национальности они н ебыли) Задача: Обеспечить максимально полный мониторинг действий всех "индусов". Возможность отличать одного "индуса" от другого. Писать в удаленный логгер все изменения файлов конфигурации (по смиску). Это нужно для разбора полетов кто, что и как сломал. Хочу использовать: - пользователей хранить в ldap - для мониторинга файлов использовать auditd - для записи сессии пользователя использовать sudosh2 (пока не тестировал) - что еще добавить? На данный момент у меня стадия прототипа - можно вносить любые изменения и я открыт к любым предложениям и советам. Дистрибутив - убунту (это я не могу менять) На интеграции с LDAP я наткнулся на то, что практически все документы по настройке говорят что нужно интегрировать как pam так и nss Этот момент мне совершенно не понятен - мне кажется что pam_unix так и использует nss и, соответвенно, для простого случая достаточно интеграции с nss Однако добиться работы я не могу. После базовой настройки я вижу что пользователь в LDAP есть, но я не могу получить hash пароля - отсюда ломается авторизация через login/ssh но под пользователя можно сделать su getent shadow | grep sirmax sirmax:*:11226::99999:7:::134538484 root@node-4:~/6# Для пользователя из passwd - все логично: test:$6$7pJy8fml$f97MYfd1kafLOD4Lh4sdWX9d85I9Sc3LWYlhr3KhUPtn5fhI6lt2zdSNpXElAMQYGWpZ2qqSTkd9PzGW5pYD//:16926:0:99999:7::: Я возможно не доконца понимаю работу getent - но ожидаю что ЛДАП в данном случае просто бекенд и я буду видеть одинаковые данные для ЛДАП- и не-ЛДАП пользователей Права на чтение хеша пароля для пользователя под которым ходит nss я дал, ldapsearch пароль (хеш пароля точнее) возвращает. tcpdump показывает что все данные от лдапа, в том числе и хеш пароля, при попытке авторизоваться приезжают. Обращаю внимание, что подключить pam_ldap что бы все кто используют PAM авторизовались до pam_unix можно, но мне не очень понятно почему нужно делать именно так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OKyHb Posted May 10, 2016 Используете чистый LDAP без надстроек? FreeIPA не пробовали? (то же хранение всей информации в LDAP, но с людским интерфейсом и другими плюшками). Как всё логируете? rsyslog на отдельный сервер? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted May 20, 2016 Используете чистый LDAP без надстроек? FreeIPA не пробовали? (то же хранение всей информации в LDAP, но с людским интерфейсом и другими плюшками). Как всё логируете? rsyslog на отдельный сервер? LDAP заработал, над логгированием пока думаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
