Ограничьте логины openSSH 6.1p1 через LDAP к диапазону IP
Это хитро. Единственный официально санкционированный метод для того, чтобы сделать это является WSUS, как был упомянут несколько раз теперь. Для использования этого клиенты должны были бы изменить свои данные Windows Update, которые могут быть выполнены путем установки правильных ключей реестра, но они требуют положительного действия со стороны клиентов.
Если я правильно понял ваш вопрос, вы можете использовать pam_access. Я не думаю, что вы можете сделать это в sshd_config self.
Чтобы включить pam_access, добавьте следующую строку в служебный файл pam sshd. В моей системе это /etc/pam.d/sshd.
account required pam_access.so
. Затем вы должны поместить локальных пользователей и пользователя ldap в разные группы. Допустим, группа localusers и группа ldapusers.
Теперь вы можете редактировать ограничения доступа в /etc/security/access.conf:
# root only from local-network?
+ : root : : 10.0.0.0/8
# users in ldap only access from local network
+ : (ldapusers) : 10.0.0.0/8
# local user only access from 172.x.x.x network
+ : (localusers) : 172.0.0.0/8
# Deny all other users to get access from all sources?
- : ALL : ALL
. Попытайтесь сначала понять конфигурацию access.conf, потому что вы можете легко заблокировать себя.