Debian
OpenLDAP - 如何將 Debian 登錄限制為特定組 (posixGroup)?
我正在嘗試將登錄限制在 Debian 8 中的特定 LDAP 組。系統配置為使用 OpenLDAP (PAM) 作為身份驗證方法。
我的目標是將系統配置為允許所有本地使用者(包括 root)以及屬於 LDAP 組列表的 LDAP 使用者。在伺服器中,組是其 objectClass 為 posixGroup 的條目,因此 memberUid 屬性包含該組中的使用者。
我通過在以下位置添加安全規則解決了這個問題
/etc/security/access.conf
:-:ALL EXCEPT root [user] ([myldapgroup]):ALL
- 替換
[user]
為我的本地使用者名(這樣我可以在本地登錄)和[myldapgroup]
允許登錄的 ldap 組。並將這一行添加到開頭
/etc/pam.d/common-account
:account required pam_access.so
現在只有
root
,[user]
和 屬於的使用者[myldapgroup]
可以登錄。