Usamos o Active Directory (2003 e 2008) para todos os nossos usuários (70% Linux, 30% Windows). Autenticação normal do usuário funciona bem. Agora tenho uma situação em que, em um determinado servidor, preciso restringir os usuários que podem efetuar login em membros de um determinado grupo no ADS. Então eu criei o grupo e adicionei os usuários. Então eu configurei em pam_ldap.conf
pam_groupdb cn=<group>,ou=Applications,dc=<domain>,dc=<tld>
e
pam_member_attribute memberOf
No entanto, isso não parece fazer nenhuma diferença. Eu parei nscd (apenas no caso), mas ainda posso fazer login usando credenciais de um usuário que não é membro desse grupo. Alguém tem experiência com isso?
Existem outras soluções alternativas, mas elas são bastante feias e eu prefiro não ter que usá-las (por exemplo, extrair todos os usuários via ldapsearch em uma tarefa cron e colocá-los em uma lista de usuários permitidos, etc ...). Ah, sim, posso ver os membros desse grupo usando o ldapsearch. E posso ver as associações de grupos de usuários individuais muito bem, também usando o ldapsearch. Coloquei o sshd nesse servidor no modo de depuração, mas os logs não revelam nada de útil. Quaisquer ponteiros seriam muito apreciados.
Parece-me que suas configurações têm um erro de digitação. Eu acredito que pam_groupdb deveria ser pam_groupdn.
do manual:
$ man pam_ldap
...
pam_groupdn
Especifica o nome distinto de um grupo ao qual um usuário deve pertencer para autorização de logon para ser bem-sucedido.
pam_member_attribute
Especifica o atributo a ser usado ao testar a associação de um usuário de um grupo especificado na opção pam_groupdn.
...
Tags ldap active-directory linux