MS Windows

Premessa

In genere non è necessario restringere il login solo a una certa categoria di utenti, nel caso però il sistema più comodo sono i gruppi.

Stranamente il sistema grafico di togliere certi gruppi dagli Users non funziona. Funziona invece per gli Administrators.

Ipotesi

Il procedimento che segue ipotizza che:

• il dominio si chiami SAMBANFS
• sul domain controller esistano i gruppi LDAP
• si richiede che solo i membri del gruppo chi01 possano fare il login

Procedimento

Eseguire gpedit.msc scegliere: configurazione computer, impostazioni di Windows, impostazioni di protezioni, criteri locali, assegnazione diritti utenti. Modificare la voce: accesso locale

Escludere:

User

Aggiungere:

SAMBANFS\Domain Admins
SAMBANFS\chi01

per aggiungere i gruppi accertarsi di aver selezionato "gruppo" come tipo oggetto, visto che e' deselezionato.

Debian GNU/Linux

Attenzione !

Causa la mancanza dei gruppi principali su ldap, questo procedimento non funziona per le distribuzioni per cui questo è un fault grave. Tra queste c'è MEPIS.

aggiornamento: su ldap3 i gruppi principali ci sono. Anche debian è interessato da questo malfunzionamento --Malvezzi 11:17, 18 February 2009 (CET)

Panoramica

In generale sarebbe possibile usare per l'autorizzazione anche un filtro ldap in /etc/libnss-ldap.conf, ma le query ldap si complicano molto e la leggibilità del file ne risente. Inoltre i gruppi permettono di cambiare le regole senza dover mettere mano a tutti i client.

Priocedimento

Si ipotizza di restringere l'accesso al gruppo CHI01.

Accertarsi che in /etc/nsswitch.conf la riga groups sia del tipo:

group:          compat ldap

(invece di compat va benissimo anche files).

Aggiungere la riga in /etc/pam.d/common-account:

account required /lib/security/pam_listfile.so onerr=succeed item=group sense=allow file=/etc/pam.d/allowed_groups

creare un file /etc/pam.d/allowed_groups con le righe:

chi01
root