我们的 LDAP 服务器有 300 多个用户,其中 10 台服务器属于不同的组。当我们创建用户时,每个用户都可以访问所有 10 台服务器。因此我想限制用户访问权限。因此 LDAP 用户或 LDAP 用户组只能访问特定服务器。我们的用户使用 SSH 访问服务器。如何从 LDAP 进行限制。
这是我从互联网上得到的,但这样我想为每个用户都做到这一点:( LDAP 限制服务器登录
还有其他方法可以使用 LDAP 组来实现吗?我在 Google 上找不到相关信息。谢谢
答案1
感谢@Marco 提供的信息
当我在 sshd_config 中添加 AllowGroups 时,出现了诸如凭据无效之类的错误。
pam_ldap: error trying to bind as user "cn=test user,ou=people,dc=example,dc=com" (Invalid credentials)
出现此错误是因为未启用 pam_groupdn 和 pam_member_attribute。
更改 /etc/ldap.conf 中的设置启用 pam_groupdn 和 pam_member_attribute
pam_groupdn
# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com
pam_member_attribute
#pam_member_attribute uniquemember
然后在 sshd_config 中添加 AllowedGroups
它正在按预期工作。
注意:在 AllowGroup 或 AllowUser 中添加您的 sudo 用户或组,否则您将无法访问 sudo。