SSH доступ к определенной группе LDAP - PullRequest
0 голосов
/ 04 сентября 2018

Я создал один сервер openLDAP и один клиент. Теперь необходимо разрешить SSH только одному члену определенной группы LDAP на этом клиенте.

Клиентский компьютер

я могу видеть группу LDAP, используя 'getent group'

это мой файл /etc/pam.d/sshd

%PAM-1.0
account    required     pam_access.so
auth       required     pam_listfile.so onerr=fail item=group sense=allow 
file=/etc/openldap/sshgroups
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0022
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in 
the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

содержимое файла / etc / openldap / sshgroups:

root
centos
ldap-test-group

но все пользователи LDAP могут войти на клиентский компьютер.

что здесь не так?

1 Ответ

0 голосов
/ 06 сентября 2018

После множества методов проб и ошибок я смог получить его, используя pam_access.so и access.conf.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...