我正在运行 14.04 服务器,我已在该服务器上安装了 ldap 身份验证包ldap-auth-client并配置为连接到我们的 LDAP 服务器。我的身份验证部分和用户查找功能均已运行。我可以使用 ldap 帐户和密码登录。我可以使用 id 查找 ldap 用户的 id。
我还在文件pam_groupdn中配置了选项ldap.conf以限制哪些帐户可以登录服务器,但该功能不起作用。到目前为止,我正在使用 SSH 进行测试。我验证了sshd_config已启用 PAM,并且我正在使用不在组中的帐户进行测试pam_groupdn,它绑定到 ldap 并进行身份验证,但没有尝试验证 groupdn 列表中的 dn。我使用 wireshark 嗅探出所有 ldap 流量并验证没有对 groupdn 对象进行搜索。
听起来好像帐户验证方面的某些东西没有被触发,我的通用帐户文件是默认的:
# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
如果您对配置有任何帮助或者对如何进一步调试有任何想法,我们将不胜感激。