У нас есть сервер ldap и клиент ldap в домене. Как часть ответственности за поддомен, я хочу включить логины ldap только для некоторых пользователей на конкретном компьютере и хочу отключить остальных пользователей. У меня НЕТ административного доступа к серверу ldap. Это можно сделать. Если да, то как?
например machine1, все пользователи, которым разрешен вход в систему ldap, machine2, только xyz и pqr могут войти в систему machine3, abc и def не разрешены, остальные разрешены.
Короче говоря, чтобы разрешить / запретить подмножеству пользователей доступ к определенному ldap-клиенту без прав root / администратора на сервере ldap.
nsswitch.conf выглядит так:
passwd: files ldap
shadow: files ldap
group: files ldap
Клиент работает под управлением Ubuntu 10.04 и OpenLDAP.
Спасибо. РЕДАКТИРОВАТЬ: Обратите внимание, что, хотя я хорошо разбираюсь в Linux, я очень новичок в LDAP (даже не понимаю терминологию хорошо), и, следовательно, простое, простое и специальное решение было бы более желанным, чем расширенное решение.
Вы перечисляете информацию о конфигурации каталога, но вам нужна конфигурация авторизации, то есть PAM. Вы можете выполнить то, что хотите, используя pam_listfile, в котором вы можете перечислить всех пользователей, которым разрешено входить в систему, и добавить pam_listfile в стек pam.
Как уже говорили другие, проверьте access.conf для многих других примеров.
Вот как мы это делаем в нашем магазине.
Измените /etc/pam.d/sshd
#account required pam_nologin.so
account required pam_access.so
Измените /etc/security/access.conf
# root will get access from all sources
+ : root : ALL
# Disallow all except these two groups and this user
- : ALL EXCEPT group1 group2 userxyz : ALL
Просто и быстро, и имея root-доступ к клиентским машинам: включите pam_access в конфигурации pam и настройте /etc/security/access.conf. См. Примеры в файле и в pam_access (8).