簡而言之，我想針對 Mac OS X 伺服器的 OpenDirectory LDAP 對 Ubuntu 10.04 伺服器的使用者進行身份驗證，但僅當他們是LDAP 端組的成員時才允許他們訪問。

使用一些指南和以前的經驗，我能夠讓它使身份驗證部分正常工作 - 這部分很簡單：

$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb

並根據提示輸入 LDAP URI、搜尋庫等。

那時，我可以看到 OpenDirectory LDAP 伺服器上的使用者/組

獲取密碼

獲取組

我什至可以作為任何使用者 ssh 到盒子

問題是——我不知道如何限制對特定使用者組的訪問（例如testssh）

使用本指南，我對 /etc/ldap.conf 文件進行了以下更改：

pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net

pam_member_attribute 唯一成員

希望有人解決了這個問題，我只是錯過了一些明顯的東西！

看看/etc/security/access.conf。對該文件的更改將影響使用 pam 和 pam_access 模組的任何內容，並允許您通過組成員身份限制登錄。

getent group <group name>您可以使用 ’ ‘檢查組成員身份

我沒有Mac，但我就是這樣做的，我認為你也可以這樣做。

把你的 sshd_config 放在 Mac 上：

AllowGroups testssh

它將只允許 testssh LDAP 組中的使用者

引用自：https://serverfault.com/questions/165901