Недавно мне было поручено настроить некоторые серверы для аутентификации LDAP для нашей существующей базы данных LDAP (OpenLDAP на сервере Mandriva MDS, на котором запущена MMC для управления им).
Мне удалось заставить его работать, так как я могу войти в систему и пройти аутентификацию на основе учетных данных ldap, но теперь любой пользователь может войти в систему, и я хотел бы иметь возможность настраивать более жесткие списки контроля доступа, чем это.
Я пробовал установить pam_check_host_attr = yes
в ldap.conf на клиентской машине. Я попытался добавить ldapns.schema в openldap на нашем сервере, но не знаю, как что-нибудь передать в MMC. В идеале я не хочу заходить в командную строку каждый раз, когда хочу управлять пользователем, но даже возможность сделать это на данном этапе была бы улучшением.
В дополнение к этому, я все еще могу войти на клиентский компьютер с любой учетной записью ldap прямо сейчас, что заставляет меня думать, что существует какая-то политика «если хосты не определены, по умолчанию разрешено их использование», которая мне не нравится. Есть ли способ изменить это?
Есть ли лучший способ сделать то, что я пытаюсь сделать полностью? (глобальный список логинов, но с возможностью указать, что только определенные пользователи входят на определенные серверы)