我试图限制login到Debian 8中的特定LDAP组。系统configuration为使用OpenLDAP(PAM)作为身份validation方法。
我的目标是将系统configuration为允许所有本地用户(包括root)加上属于LDAP组列表的LDAP用户。 在服务器中,组是具有objectClass作为posixGroup的条目,因此memberUid属性包含该组中的用户。
我通过在/etc/security/access.conf添加安全规则来解决问题:
-:ALL EXCEPT root [user] ([myldapgroup]):ALL
*用我的本地用户名(所以我可以在本地login)和[myldapgroup]由允许login的ldap组replace[user] 。
并将此行添加到/etc/pam.d/common-account的开头:
account required pam_access.so
现在,只有属于[myldapgroup] root , [user]和用户才能login。
欲了解更多信息: https : //wiki.debian.org/LDAP/PAM