Ubuntu 10.04:按组限制 LDAP 访问(Mac OS X 服务器上的 OpenDirectory)

Ubuntu 10.04:按组限制 LDAP 访问(Mac OS X 服务器上的 OpenDirectory)

简而言之,我想通过 Mac OS X Server 的 OpenDirectory LDAP 对 Ubuntu 10.04 Server 的用户进行身份验证,但是仅当他们是群组成员时才允许他们访问在 LDAP 端。

使用一些指南和以前的经验,我能够使身份验证部分正常工作 - 该部分很简单:

$ sudo apt-get 安装 libpam-ldap libnss-ldap nss-updatedb

并根据提示输入 LDAP URI、搜索基础等。

此时,我能够看到 OpenDirectory LDAP 服务器上的用户/组

# 获取密码

# getent 组

我甚至可以以任何用户的身份 ssh 到该盒子

问题是——我不知道如何限制只有某一组用户才能访问(例如 testssh)

使用本指南之后,我对 /etc/ldap.conf 文件做了以下更改:

pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net

pam_member_attribute 唯一成员

希望有人已经解决了这个问题,而我只是忽略了一些显而易见的东西!

答案1

看一下/etc/security/access.conf。对此文件的更改将影响使用 pam 和 pam_access 模块的所有内容,并允许您通过组成员身份限制登录。

getent group <group name>您可以使用“ ”检查群组成员身份

答案2

我没有 Mac,但是我就是这样做的,我想你也可以这样做。

在 Mac 上放入你的 sshd_config:

AllowGroups testssh

它将仅允许 testssh LDAP 组中的用户

相关内容