我已经整合了PAM与LDAPauthentication。 Q-如何限制一些用户login到某些Linux服务器。
例如,我们已经使用PAM LDAP auth将100台Linux服务器集成到组织中,我们在LDAP中有大约600个用户,现在我们需要限制某些Linux服务器的帐户。 目前所有用户都可以login到所有的Linux服务器。
请让我知道,如果你有任何解决这个问题。 请与我分享也要做的步骤。 谢谢
在ldap中,您可以设置可用于login的主机。 您也可以创build组并在特定系统上设置login访问权限。
如果只有几个用户login,可以将其附加到/ etc / passwd中
+user1::::::/bin/bash +user2::::::/bin/bash +::::LDAP user::/usr/sbin/nologin 这将用“LDAP用户”覆盖GECOS,并且除用户{1,2}之外的所有用户都拥有/ usr / sbin / nologin。
另一个解决办法是使用/etc/security/access.conf看看这个post: https : //serverfault.com/a/229131/11340
我使用SSSD ,然后在conf文件中放入一个ldap_access_filter行,如下所示:
... id_provider = ldap auth_provider = krb5 chpass_provider = krb5 access_provider = ldap ... ldap_access_filter = memberOf=CN=IT,CN=Users,DC=example,DC=com
严格来说,这是一个访问控制问题,而不是一个authentication问题。 你最好的解决scheme是使用pam_access 。 请参阅access.conf(5)手册页。 您应该在LDAP中创build组或networking组,然后包括
+: (groupname) @netgroupname: ALL -: ALL: ALL
在/etc/security/access.conf 。