我有一台 CentOS 机器,我已成功连接到 Windows AD。我可以使用 CentOS 客户端上 AD 中现有的任何用户进行 ssh 登录。现在我想只允许特定的 AD 组登录(管理员),但它不起作用。首先,我禁用登录
realm deny -R mydomain.local -a
作品。其次,我想允许一个特定的组,即来自 AD 的组:
distinguishedName: CN=Admins,OU=Users-All,OU=Users,DC=mydomain,DC=local
我使用了两种方法,但似乎都不起作用:
realm permit -g Admins
realm permit -g 'mydomain.local\\Users\Users-All\Admins'
由于我对 Linux 的 AD 还很陌生,所以对我做错了什么有什么建议吗?
谢谢!
答案1
我通过编辑实现了这一点 /etc/security/pam_winbind.conf
require_membership_of = S-1-5-21-361205316-2009527927-3895120483-1111,localgroup1
您可以使用以下命令找出 S-1-... 字符串wbinfo -G "User all"
答案2
发现问题了。使用 sssl.conf 中的 ad_access_filter,Linux 计算机必须具有读取 AD 中用户对象的权限。与我们的系统管理员交谈后,他已授予权限,现在可以使用了......:)