如何限制LDAP中的用户login到Linux机器的特定子集

场景:

我们在LDAP中有用户user1,user2,user3和user4。 和Linux机器linux1,linux2,linux3,linux4,… linux50是在这个LDAP域。

现在的问题是:

如何限制user1仅具有loginlinux1,linux2,linux3和linux4的权限? 其他用户(用户2,用户3,用户4)可以login到所有这些机器(这是微不足道的,我们已经有了)。

最简单的方法是创build两个LDAP组,例如“tester”和“developer”等等。

然后在linux2,linux3和linux4上添加

pam_groupdn "developers" 

/etc/ldap.conf

有关更多详细信息,请参阅http://linux.die.net/man/5/pam_ldap