OpenLDAP – 如何限制Debianlogin到特定组(posixGroup)?

我试图限制loginDebian 8中的特定LDAP组。系统configuration为使用OpenLDAP(PAM)作为身份validation方法。

我的目标是将系统configuration为允许所有本地用户(包括root)加上属于LDAP组列表的LDAP用户。 在服务器中,组是具有objectClass作为posixGroup的条目,因此memberUid属性包含该组中的用户。

我通过在/etc/security/access.conf添加安全规则来解决问题:

 -:ALL EXCEPT root [user] ([myldapgroup]):ALL 

*用我的本地用户名(所以我可以在本地login)和[myldapgroup]由允许login的ldap组replace[user]

并将此行添加到/etc/pam.d/common-account的开头:

 account required pam_access.so 

现在,只有属于[myldapgroup] root[user]和用户才能login。

欲了解更多信息: https : //wiki.debian.org/LDAP/PAM