简而言之,我想通过 Mac OS X Server 的 OpenDirectory LDAP 对 Ubuntu 10.04 Server 的用户进行身份验证,但是仅当他们是群组成员时才允许他们访问在 LDAP 端。
使用一些指南和以前的经验,我能够使身份验证部分正常工作 - 该部分很简单:
$ sudo apt-get 安装 libpam-ldap libnss-ldap nss-updatedb
并根据提示输入 LDAP URI、搜索基础等。
此时,我能够看到 OpenDirectory LDAP 服务器上的用户/组
# 获取密码
# getent 组
我甚至可以以任何用户的身份 ssh 到该盒子
问题是——我不知道如何限制只有某一组用户才能访问(例如 testssh)
使用本指南之后,我对 /etc/ldap.conf 文件做了以下更改:
pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net
pam_member_attribute 唯一成员
希望有人已经解决了这个问题,而我只是忽略了一些显而易见的东西!
答案1
看一下/etc/security/access.conf
。对此文件的更改将影响使用 pam 和 pam_access 模块的所有内容,并允许您通过组成员身份限制登录。
getent group <group name>
您可以使用“ ”检查群组成员身份
答案2
我没有 Mac,但是我就是这样做的,我想你也可以这样做。
在 Mac 上放入你的 sshd_config:
AllowGroups testssh
它将仅允许 testssh LDAP 组中的用户