Я пытаюсь ограничить вход в систему определенными группами LDAP в Debian 8. Система настроена на использование OpenLDAP (PAM) в качестве метода аутентификации.
Моя цель - настроить систему так, чтобы разрешить всем локальным пользователям (включая root), а также пользователям LDAP, которые принадлежат к списку групп LDAP. На сервере группы являются записями, имеющими объектный класс posixGroup, поэтому атрибут memberUid содержит пользователей в этой группе.
Я решил проблему, добавив правило безопасности в /etc/security/access.conf:
-:ALL EXCEPT root [user] ([myldapgroup]):ALL
* заменить [user] по моему локальному имени пользователя (чтобы я мог войти в систему локально) и [myldapgroup] группой ldap, разрешенной для входа.
И добавив эту строку в начало /etc/pam.d/common-account:
account required pam_access.so
Только сейчас root, [user], и пользователи, принадлежащие [myldapgroup] могут войти.
Чтобы получить больше информации: https://wiki.debian.org/LDAP/PAM