我最近的任务是尝试设置一些服务器来对我们现有的 LDAP 数据库进行 LDAP 身份验证(在运行 MMC 的 Mandriva MDS 服务器上的 OpenLDAP 来管理它)。
我设法让它工作起来,因为我可以根据 ldap 凭据登录和进行身份验证,但是现在任何用户都可以登录,并且我希望能够设置比这更严格的 ACL。
我尝试pam_check_host_attr = yes
在客户端机器上设置 ldap.conf。我尝试将 ldapns.schema 添加到我们服务器上的 openldap,但我不知道如何将任何东西放入 MMC。理想情况下,我不想每次想要管理用户时都必须进入命令行,但即使能够做到这一点,现在也是一种进步。
除此之外,我现在仍然可以使用任何 ldap 帐户登录到客户端计算机,这让我认为存在某种我不喜欢的“如果没有定义主机,则默认允许它们进入”策略。 有办法改变这种情况吗?
有没有更好的方法来完成我想做的事情?(全局登录列表,但能够指定只有特定用户才能进入特定服务器)