Linux
Ubuntu 10.04:按組限制 LDAP 訪問(Mac OS X 伺服器上的 OpenDirectory)
簡而言之,我想針對 Mac OS X 伺服器的 OpenDirectory LDAP 對 Ubuntu 10.04 伺服器的使用者進行身份驗證,但僅當他們是LDAP 端組的成員時才允許他們訪問。
使用一些指南和以前的經驗,我能夠讓它使身份驗證部分正常工作 - 這部分很簡單:
$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb
並根據提示輸入 LDAP URI、搜尋庫等。
那時,我可以看到 OpenDirectory LDAP 伺服器上的使用者/組
獲取密碼
獲取組
我什至可以作為任何使用者 ssh 到盒子
問題是——我不知道如何限制對特定使用者組的訪問(例如testssh)
使用本指南,我對 /etc/ldap.conf 文件進行了以下更改:
pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net
pam_member_attribute 唯一成員
希望有人解決了這個問題,我只是錯過了一些明顯的東西!
看看
/etc/security/access.conf
。對該文件的更改將影響使用 pam 和 pam_access 模組的任何內容,並允許您通過組成員身份限制登錄。
getent group <group name>
您可以使用 ’ ‘檢查組成員身份
我沒有Mac,但我就是這樣做的,我認為你也可以這樣做。
把你的 sshd_config 放在 Mac 上:
AllowGroups testssh
它將只允許 testssh LDAP 組中的使用者