PAM LDAP 身份验证限制

Question 1

在 ldap 中，您可以设置可以登录的主机。您还可以创建组并设置特定系统的登录访问权限。

Answer

在 ldap 中，您可以设置可以登录的主机。您还可以创建组并设置特定系统的登录访问权限。

Question 2

如果只有少数用户登录，你可以将其附加到 /etc/passwd 中

+user1::::::/bin/bash
+user2::::::/bin/bash
+::::LDAP user::/usr/sbin/nologin

这将用“LDAP 用户”覆盖 GECOS，并且除了用户 {1,2} 之外的所有人都有 /usr/sbin/nologin 。

另一个解决方案是/etc/security/access.conf查看这篇文章：https://serverfault.com/a/229131/11340

Answer

如果只有少数用户登录，你可以将其附加到 /etc/passwd 中

+user1::::::/bin/bash
+user2::::::/bin/bash
+::::LDAP user::/usr/sbin/nologin

这将用“LDAP 用户”覆盖 GECOS，并且除了用户 {1,2} 之外的所有人都有 /usr/sbin/nologin 。

另一个解决方案是/etc/security/access.conf查看这篇文章：https://serverfault.com/a/229131/11340

Question 3

我用固态存储系统然后在 conf 文件中放入一个 ldap_access_filter 行，如下所示：

...
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap
...
ldap_access_filter = memberOf=CN=IT,CN=Users,DC=example,DC=com

Answer

我用固态存储系统然后在 conf 文件中放入一个 ldap_access_filter 行，如下所示：

...
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap
...
ldap_access_filter = memberOf=CN=IT,CN=Users,DC=example,DC=com

Question 4

严格来说，这是一个访问控制问题，而不是身份验证问题。最好的解决方案是使用pam_access。请参阅访问.conf(5)手册页。您应该在 LDAP 中创建组或网络组，然后包括

+: (groupname) @netgroupname: ALL
-: ALL: ALL

在/etc/security/access.conf。

Answer

严格来说，这是一个访问控制问题，而不是身份验证问题。最好的解决方案是使用pam_access。请参阅访问.conf(5)手册页。您应该在 LDAP 中创建组或网络组，然后包括

+: (groupname) @netgroupname: ALL
-: ALL: ALL

在/etc/security/access.conf。

PAM LDAP 身份验证限制

答案1

答案2

答案3

答案4

相关内容