对特定LDAP组的SSH访问

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了对特定LDAP组的SSH访问相关的知识,希望对你有一定的参考价值。

我创建了一个openLDAP服务器和一个客户端。现在要求只允许某个特定LDAP组的成员在此客户端上执行SSH。

客户端机器

我可以使用'getent group'查看LDAP组

这是我的/etc/pam.d/sshd文件

%PAM-1.0
account    required     pam_access.so
auth       required     pam_listfile.so onerr=fail item=group sense=allow 
file=/etc/openldap/sshgroups
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0022
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in 
the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

文件/ etc / openldap / sshgroups的内容:

root
centos
ldap-test-group

但是所有LDAP用户都能够登录到客户端计算机。

这有什么不对?

答案

经过大量的点击和试用方法后,我能够使用pam_access.so和access.conf来获取它。

以上是关于对特定LDAP组的SSH访问的主要内容,如果未能解决你的问题,请参考以下文章

SSSD - 基于LDAP组的访问 - ldap架构rfc2307bis

java ldap - 获取信息是对 AD 的更改

LDAP 与 SAML 授权

在Plone 4.1中,如何从特定组中获取LDAP用户?

访问所有 LDAP 组名

配置文档的访问权限