OpenLDAP - Как ограничить вход в систему Debian определенными группами (posixGroup)?
Я пытаюсь ограничить вход в систему для определенных групп LDAP в Debian 8. Система настроена на использование OpenLDAP (PAM) в качестве метода аутентификации.
Моя цель - настроить систему так, чтобы разрешить всем локальным пользователям (включая root), а также пользователям LDAP, которые принадлежат к списку групп LDAP. На сервере группы являются записями, имеющими объектный класс posixGroup, поэтому атрибут memberUid содержит пользователей в этой группе.
Я решил проблему, добавив правило безопасности в /etc/security/access.conf:
-:ALL EXCEPT root [user] ([myldapgroup]):ALL
* замените [user] на мое локальное имя пользователя (чтобы я мог войти в систему локально) и [myldapgroup] на группу ldap, разрешенную для входа.
И добавление этой строки в начало /etc/pam.d/common-account:
account required pam_access.so
Теперь только root, [user], и пользователи, принадлежащие к [myldapgroup], могут входить в систему.
Для получения дополнительной информации: https://wiki.debian.org/LDAP/PAM