Ldap
控制訪問的最佳方法?
我有一些服務於不同目的的伺服器(因此不同的使用者使用每一個),它們對 LDAP 伺服器進行身份驗證(我無權修改 LDAP 伺服器上的內容)。管理跨這些伺服器的訪問以使並非所有 LDAP 使用者都可以進行身份驗證的有效方法是什麼?我曾考慮使用輔助 LDAP 伺服器來提供組並僅使用主伺服器進行身份驗證,但我沒有看到任何文件可以這樣做,也沒有找到任何簡單的 UI。最理想的情況是,訪問管理也可以通過某種 UI 來完成,因此不太喜歡終端的使用者也可以更改使用者組。
我建議使用 pam_access.so 模組,它允許您根據 ldap_group、local-group、ldap_user、local_users 限制訪問。
vi /etc/pam.d/common-account ** depending on which distro the client Server is account required pam_access.so vi /etc/security/access.conf + : ALL : LOCAL - : ALL EXCEPT LDAP_GROUP1 LOCAL_GROUP1 LocalUser ldap_User : ALL** 這將拒絕除ldap_group1、local_group1、LocalUser、ldap_User之外的所有人