通过 LDAP hostObject objectClass 和 host 属性限制服务器登录

通过 LDAP hostObject objectClass 和 host 属性限制服务器登录

如何配置我的 LDAP 服务器以允许除一个主机之外的所有主机?默认情况下,所有用户都具有host: *允许任何用户登录任何服务器的属性。我尝试了以下正则表达式,但似乎这里不支持正则表达式:

host: !(*test.example.com*)

我提到过这一页设置host属性。

LDAP 版本 :2.3.43-12

答案1

要根据主机限制用户登录到 unix 帐户,请参阅 LDAP 文档

         https://wiki.debian.org/LDAP/PAM

根据

         "Allowing logins on a per-host basis"

首先,您必须添加 ldapns 模式(通常在 libpam-ldap 包中提供),然后为每个用户添加特定的限制。

请注意,对编辑配置文件的引用是针对 LDAP 配置的旧方式,现在您必须通过创建具有所需规范的 LDIF 文件来更改配置,然后使用带有 -f path_to_the_ldif oarameter 的 ldapadd(新条目)或 ldapmodify(更改现有条目)命令应用它们。

如果您查看 Debian/Wiki 部分的底部,它会给出如何完成除 X 之外的所有主机表达式的建议。

        negation (!host) capability. E.g.:

 (&(objectClass=posixAccount)(uid=$username)  (|(host=$hostname)(host=$fqdn)(&(host=\\*)(!(|(host=!$hostname)(host=!$fqdn))))))

相关内容