我最近的任务是尝试将一些服务器设置为对我们现有的LDAP数据库(运行MMC的Mandriva MDS服务器上的OpenLDAP进行pipe理)进行LDAP身份validation。
我设法得到它有点工作,因为我可以基于ldap凭据login和身份validation,但现在任何用户可以login,我希望能够设置比这更严格的ACL。
我试图在客户机上的ldap.conf中设置pam_check_host_attr = yes 。 我尝试将ldapns.schema添加到我们的服务器上的openldap,但是我对如何将任何东西放入MMC中感到茫然。 理想情况下,我不想每次想pipe理用户时都要进入命令行,但即使能够这样做,也是一个改进。
除此之外,我现在仍然可以用任何ldap帐户login客户机,这让我觉得有一种'如果没有主机被定义,默认允许他们在'我不喜欢的政策。 有没有办法改变这个?
有没有更好的方法来完成我想要完成的工作? (全局login列表,但只能说某些用户进入特定服务器)