我正在运行 Red Hat Enterprise Linux 6.6,对于身份验证,我们使用 LDAP 身份验证。我们在服务器上运行应用程序(实际上无关紧要),应用程序的工作方式基本上是使用操作系统来验证用户,其他一切都在应用程序中处理。
这是我遇到的问题,有时用户会共享他们的用户名和密码,这违反了我们的政策,但我不知道什么时候会发生这种情况(他们中很少有人承认,不久后就被禁用了)。我遇到的情况是,当用户进行身份验证时,应用程序告诉操作系统“验证此用户”,操作系统设置为使用 LDAP,而 LDAP 正在使用 PAM 模块。
我想在身份验证级别执行的操作是运行脚本来检查用户的传入 IP 地址并检查它是否有多个会话,如果用户有多个会话,则检查会话中的 IP 地址并查看它们是否匹配。这是我能想到的最好的办法,因为用户不可能同时在两台机器上。
我知道有一种方法可以限制每个 IP 的用户,但有些用户有笔记本电脑,而且他们四处走动,因此他们的 IP 是动态分配的,并且一直在变化。同时,维护 600 多个 IP 用户和地址将是一场噩梦。
有什么建议么?