У меня есть несколько серверов, которые служат разным целям (и, следовательно, каждый из них используют разные пользователи), которые проходят аутентификацию на сервере LDAP (у меня нет разрешения на изменение содержимого на сервере LDAP). Как эффективно управлять доступом к этим серверам, чтобы не все пользователи LDAP могли пройти аутентификацию? Я думал об использовании вторичного сервера LDAP для предоставления групп и использования первичного сервера исключительно для аутентификации, но я не видел никакой документации для этого и не нашел для него простого пользовательского интерфейса. Оптимально, управление доступом может также осуществляться через какой-либо пользовательский интерфейс, поэтому пользователи, менее склонные к терминалам, могут также изменять группы пользователей.
Я бы предложил использовать модуль pam_access.so, который позволяет вам ограничивать доступ на основе ldap_group, local-group, ldap_user, local_users.
vi /etc/pam.d/common-account ** depending on which distro the client Server is
account required pam_access.so
vi /etc/security/access.conf
+ : ALL : LOCAL
- : ALL EXCEPT LDAP_GROUP1 LOCAL_GROUP1 LocalUser ldap_User : ALL
** это отрицает всех, кроме ldap_group1, local_group1, LocalUser, ldap_User