Я установил OpenLDAP-сервер для аутентификации пользователей на наших серверах Ubuntu. Аутентификация работает неплохо, но я бы хотел ограничить доступ пользователя к определенным серверам.
Я знаю, что это можно сделать через nss_base_что-то в клиентском ldap.conf. Однако для этого необходимо указать групповые ограничения на клиенте. Интересно, можно ли полностью установить ограничения в OpenLDAP. Если это так, я хотел бы знать, как это сделать.
Спасибо,
AC
Вы можете сделать это с помощью модуля pam_ldap. (страница руководства здесь)
В openldap настройте атрибут хоста для пользователя с именем хоста системы, к которому разрешен доступ.
в /etc/pam_ldap.conf:
pam_check_host_attr yes
Теперь он должен проверять атрибут, когда пользователь пытается войти в систему.