我正在尝试将登录限制到 Debian 8 中的特定 LDAP 组。系统配置为使用 OpenLDAP(PAM)作为身份验证方法。
我的目标是配置系统以允许所有本地用户(包括 root)以及属于 LDAP 组列表的 LDAP 用户。在服务器中,组是将其 objectClass 为 posixGroup 的条目,因此 memberUid 属性包含该组中的用户。
答案1
我通过添加安全规则解决了该问题/etc/security/access.conf:
-:ALL EXCEPT root [user] ([myldapgroup]):ALL
*[user]用我的本地用户名替换(这样我就可以在本地登录)并替换[myldapgroup]为允许登录的 ldap 组。
并将此行添加到/etc/pam.d/common-account:
account required pam_access.so
现在只有属于root、[user]和 的用户[myldapgroup]可以登录。