Я интегрировал PAM с аутентификацией LDAP. Q- как ограничить вход для некоторых пользователей на некоторые серверы Linux.
Например, мы интегрировали 100 серверов Linux в организацию с аутентификацией PAM LDAP, и у нас есть около 600 пользователей в LDAP, и теперь нам нужно ограничить некоторые учетные записи некоторыми серверами Linux. в настоящее время все пользователи могут войти на все серверы Linux.
Пожалуйста, дайте мне знать, если у вас есть решение этой проблемы. Пожалуйста, поделитесь со мной, как это сделать. Спасибо
Если для входа в систему всего несколько пользователей, вы можете добавить это в свой / etc / passwd
+user1::::::/bin/bash
+user2::::::/bin/bash
+::::LDAP user::/usr/sbin/nologin
Это перезапишет GECOS на "пользователь LDAP", и у всех, кроме пользователя {1,2}, будет / usr / sbin / nologin.
Другое решение - использовать /etc/security/access.conf посмотрите этот пост: https://serverfault.com/a/229131/11340
В ldap вы можете установить хост, доступный для входа в систему. Также вы можете создать группу и установить доступ для входа в определенную систему.
я использую SSSD а затем поместите строку ldap_access_filter в файл conf следующим образом:
...
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap
...
ldap_access_filter = memberOf=CN=IT,CN=Users,DC=example,DC=com
Строго говоря, это вопрос контроля доступа, а не вопрос аутентификации. Лучшее решение - использовать pam_access. Увидеть access.conf (5) справочная страница. Вы должны создать группы или сетевые группы в LDAP, а затем включить
+: (groupname) @netgroupname: ALL
-: ALL: ALL
в /etc/security/access.conf.