Debian

OpenLDAP - 如何將 Debian 登錄限制為特定組 (posixGroup)?

  • March 21, 2016

我正在嘗試將登錄限制在 Debian 8 中的特定 LDAP 組。系統配置為使用 OpenLDAP (PAM) 作為身份驗證方法。

我的目標是將系統配置為允許所有本地使用者(包括 root)以及屬於 LDAP 組列表的 LDAP 使用者。在伺服器中,組是其 objectClass 為 posixGroup 的條目,因此 memberUid 屬性包含該組中的使用者。

我通過在以下位置添加安全規則解決了這個問題/etc/security/access.conf

-:ALL EXCEPT root [user] ([myldapgroup]):ALL
  • 替換[user]為我的本地使用者名(這樣我可以在本地登錄)和[myldapgroup]允許登錄的 ldap 組。

並將這一行添加到開頭/etc/pam.d/common-account

account required pam_access.so

現在只有root,[user]和 屬於的使用者[myldapgroup]可以登錄。

更多資訊:https ://wiki.debian.org/LDAP/PAM

引用自:https://serverfault.com/questions/743489