OpenLDAP - 如何將 Debian 登錄限制為特定組 (posixGroup)？

我正在嘗試將登錄限制在 Debian 8 中的特定 LDAP 組。系統配置為使用 OpenLDAP (PAM) 作為身份驗證方法。

我的目標是將系統配置為允許所有本地使用者（包括 root）以及屬於 LDAP 組列表的 LDAP 使用者。在伺服器中，組是其 objectClass 為 posixGroup 的條目，因此 memberUid 屬性包含該組中的使用者。

我通過在以下位置添加安全規則解決了這個問題/etc/security/access.conf：

-:ALL EXCEPT root [user] ([myldapgroup]):ALL

• 替換[user]為我的本地使用者名（這樣我可以在本地登錄）和[myldapgroup]允許登錄的 ldap 組。

並將這一行添加到開頭/etc/pam.d/common-account：

account required pam_access.so

現在只有root,[user]和 屬於的使用者[myldapgroup]可以登錄。

更多資訊：https ://wiki.debian.org/LDAP/PAM

引用自：https://serverfault.com/questions/743489