Я пытаюсь ограничить вход в систему для определенных групп LDAP в Debian 8. Система настроена на использование OpenLDAP (PAM) в качестве метода аутентификации.
Моя цель - настроить систему так, чтобы разрешить всем локальным пользователям (включая root), а также пользователям LDAP, которые принадлежат к списку групп LDAP. На сервере группы являются записями, имеющими объектный класс posixGroup, поэтому атрибут memberUid содержит пользователей в этой группе.
Я решил проблему, добавив правило безопасности в /etc/security/access.conf
:
-:ALL EXCEPT root [user] ([myldapgroup]):ALL
* замените [user]
на мое локальное имя пользователя (чтобы я мог войти в систему локально) и [myldapgroup]
на группу ldap, разрешенную для входа.
И добавление этой строки в начало /etc/pam.d/common-account
:
account required pam_access.so
Теперь только root
, [user]
, и пользователи, принадлежащие к [myldapgroup]
, могут входить в систему.
Для получения дополнительной информации: https://wiki.debian.org/LDAP/PAM