Linux

Ubuntu 10.04:按組限制 LDAP 訪問(Mac OS X 伺服器上的 OpenDirectory)

  • August 28, 2013

簡而言之,我想針對 Mac OS X 伺服器的 OpenDirectory LDAP 對 Ubuntu 10.04 伺服器的使用者進行身份驗證,但僅當他們是LDAP 端組的成員時才允許他們訪問。

使用一些指南和以前的經驗,我能夠讓它使身份驗證部分正常工作 - 這部分很簡單:

$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb

並根據提示輸入 LDAP URI、搜尋庫等。

那時,我可以看到 OpenDirectory LDAP 伺服器上的使用者/組

獲取密碼

獲取組

我什至可以作為任何使用者 ssh 到盒子

問題是——我不知道如何限制對特定使用者組的訪問(例如testssh)

使用本指南,我對 /etc/ldap.conf 文件進行了以下更改:

pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net

pam_member_attribute 唯一成員

希望有人解決了這個問題,我只是錯過了一些明顯的東西!

看看/etc/security/access.conf。對該文件的更改將影響使用 pam 和 pam_access 模組的任何內容,並允許您通過組成員身份限制登錄。

getent group <group name>您可以使用 ’ ‘檢查組成員身份

我沒有Mac,但我就是這樣做的,我認為你也可以這樣做。

把你的 sshd_config 放在 Mac 上:

AllowGroups testssh

它將只允許 testssh LDAP 組中的使用者

引用自:https://serverfault.com/questions/165901