在我们公司,我们有很多的服务器(此时大约20,数量不断增加)。 并非所有LDAP用户都可以访问相同的服务器。
我的想法是为每个服务器创build一个用户组,并以某种方式使用服务器的IP地址来检查是否允许login。
我怎样才能使用pamconfiguration这个?
我不知道如何将它绑定到服务器的IP地址,但是这里有一种将服务器绑定到组的方法。
我build议使用pam_access,如果你的发行很容易(例如RHEL / Fedora有authconfig --enablepamaccess )。 然后,您可以修改/etc/security/access.conf使其具有类似于以下内容的行:
- : ALL EXCEPT root (groupname) : ALL
root是重要的,因为这行也将限制控制台login。 这只是为了初学者。 你可以变得更复杂,就像用多行来描述谁可以从哪里login一样,看man 5 access.conf ,虽然这可能已经足够满足你的需要了。
你可以在sshd_config中使用AllowGroups来做类似的事情。