我有几台服务器,它们用于不同的目的(因此不同的用户使用每台服务器),它们通过 LDAP 服务器进行身份验证(我没有权限修改 LDAP 服务器上的内容)。有什么有效的方法来管理这些服务器之间的访问,以便并非所有 LDAP 用户都可以进行身份验证?我曾考虑使用辅助 LDAP 服务器来提供组,并仅使用主服务器进行身份验证,但我没有看到任何文档来这样做,也没有找到任何简单的 UI。最好,访问管理也可以通过某种 UI 来完成,这样不太熟悉终端的用户也可以更改用户组。
答案1
我建议使用 pam_access.so 模块,它允许您根据 ldap_group、local-group、ldap_user、local_users 限制访问。
vi /etc/pam.d/common-account ** depending on which distro the client Server is
account required pam_access.so
vi /etc/security/access.conf
+ : ALL : LOCAL
- : ALL EXCEPT LDAP_GROUP1 LOCAL_GROUP1 LocalUser ldap_User : ALL
** 这将拒绝所有人,除了ldap_group1,local_group1,本地用户,ldap_用户