Мы используем Active Directory (2003 и 2008) для всех наших пользователей (70% Linux, 30% Windows). Обычная аутентификация пользователя работает нормально. Теперь у меня есть ситуация, когда на определенном сервере мне нужно ограничить пользователей, которые могут входить в систему, членами определенной группы в ADS. Итак, я создал группу и добавил пользователей. Затем я установил в pam_ldap.conf
pam_groupdb cn=<group>,ou=Applications,dc=<domain>,dc=<tld>
и
pam_member_attribute memberOf
Однако, похоже, это не имеет никакого значения. Я остановил nscd (на всякий случай), но я все еще могу войти в систему, используя учетные данные пользователя, который не является членом этой группы. У кого-нибудь есть опыт в этом?
Есть и другие обходные пути, но они довольно уродливые, и я бы предпочел не использовать их (например, извлеките всех пользователей через ldapsearch в задании cron, а затем поместите их в список разрешенных пользователей и т. Д.). О, да, я прекрасно вижу членов этой группы с помощью ldapsearch. И я прекрасно вижу членство в группах отдельных пользователей, также используя ldapsearch. Я перевел sshd на этом сервере в режим отладки, но журналы не содержат ничего полезного. Будем очень признательны за любые указатели.
Мне кажется, что в ваших настройках есть опечатка. Я считаю, что вместо pam_groupdb следует использовать pam_groupdn.
из руководства:
$ man pam_ldap
...
pam_groupdn Задает отличительное имя группы, к которой должен принадлежать пользователь для успешной авторизации входа.
pam_member_attribute Задает атрибут, который будет использоваться при тестировании членства пользователя в группе, указанной в параметре pam_groupdn.
...