简而言之,我想通过Mac OS X Server的OpenDirectory LDAP对Ubuntu 10.04 Server的用户进行身份validation,但只允许他们访问 LDAP端的组成员 。
使用一些指导和以前的经验,我能够得到它的authentication部分工作 – 这一部分很简单:
$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb
并根据提示inputLDAP URI,search等。
此时,我可以看到OpenDirectory LDAP服务器上的用户/组
#getent passwd
#getent组
而且我甚至可以以任何用户的身份login到邮箱
问题是 – 我不知道如何限制只有特定用户组(如testssh)
使用本指南 ,我对/etc/ldap.conf文件进行了以下更改:
pam_groupdn cn = testssh,cn = groups,dc = myserver,dc = mycompany,dc = net
pam_member_attribute唯一成员
希望有人解决了这个问题,我只是错过了一些明显的东西!
看看/etc/security/access.conf 。 此文件的更改将影响使用pam和pam_access模块的任何内容,并允许您通过组成员限制login。
您可以使用“ getent group <group name> ”检查组成员资格
我没有Mac,但这是我如何做,我认为你也可以这样做。
在mac上放上你的sshd_config:
AllowGroups testssh
它将只允许testssh LDAP组中的用户