Вкратце, я хочу аутентифицировать пользователей сервера Ubuntu 10.04 по протоколу OpenDirectory LDAP Mac OS X Server, но Разрешить им доступ ТОЛЬКО, если они являются членами группы на стороне LDAP.
Используя некоторые руководства и предыдущий опыт, я могу заставить его работать с аутентификационной частью - эта часть проста:
$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb
и введите LDAP URI, базу поиска и т. д. по запросу.
В этот момент я могу видеть пользователей / группы на LDAP-сервере OpenDirectory.
# getent passwd
# getent group
И я могу даже ssh в ящик как ЛЮБОЙ из пользователей
Проблема в том, что я не могу понять, как ограничить доступ только определенной группе пользователей (например, testssh)
Используя это руководство, Я внес следующие изменения в файл /etc/ldap.conf:
pam_groupdn cn = testssh, cn = groups, dc = myserver, dc = mycompany, dc = net
pam_member_attribute uniquemember
Надеюсь, кто-то решил эту проблему, и мне просто не хватает чего-то очевидного!
Взгляни на /etc/security/access.conf. Изменения в этом файле повлияют на все, что использует pam и модуль pam_access, и позволит вам ограничить вход в систему по членству в группе.
Вы можете проверить членство в группе с помощью 'getent group <group name>'
У меня нет Mac, но я так делаю, и я думаю, что вы можете сделать то же самое.
установите sshd_config на Mac:
AllowGroups testssh
это позволит только пользователям в группе testssh LDAP