В нашей компании много серверов (на данный момент их около 20, количество растет). Не всем пользователям LDAP разрешен доступ к одним и тем же серверам.
Моя идея - создать одну группу пользователей для каждого сервера и каким-то образом использовать IP-адрес сервера, чтобы проверить, разрешено ли использование для входа в систему.
Как я могу настроить это с помощью pam?
Я не уверен, как привязать его к IP-адресу сервера, но вот способ привязать сервер к группе.
Я бы рекомендовал использовать pam_access, если ваш дистрибутив упрощает эту задачу (например, в RHEL / Fedora есть authconfig --enablepamaccess). Затем вы измените /etc/security/access.conf иметь строку, похожую на:
- : ALL EXCEPT root (groupname) : ALL
root важна, потому что эта строка также ограничивает вход в консоль. Это только для начала. Вы можете усложнить задачу, например использовать несколько строк, чтобы описать, кто и откуда может входить в систему, см. man 5 access.conf, хотя этого может быть достаточно для ваших нужд.
Вы можете сделать что-то подобное только для ssh, используя AllowGroups в вашем sshd_config.