我们公司有很多服务器(目前大约有 20 台,数量还在增加)。并非所有 LDAP 用户都可以访问相同的服务器。
我的想法是为每个服务器创建一个用户组,并以某种方式使用服务器的 IP 地址来检查是否允许用户登录。
我如何使用 pam 进行配置?
答案1
我不确定如何将其绑定到服务器的 IP 地址,但这里有一种将服务器绑定到组的方法。
如果您的发行版比较简单(例如 RHEL / Fedora 有),我建议您使用 pam_access authconfig --enablepamaccess。然后您可以修改/etc/security/access.conf为类似于以下内容的行:
- : ALL EXCEPT root (groupname) : ALL
root很重要,因为此行还会限制控制台登录。这只是开始。您可以更复杂一些,例如使用多行来描述谁可以从哪里登录,请参阅man 5 access.conf,尽管这可能足以满足您的需求。
AllowGroups您可以在 sshd_config 中使用 ssh 执行类似的操作。