Temos um servidor ldap e um cliente ldap em um domínio. Como parte do comando de um subdomínio, desejo ativar ldap logins apenas para alguns usuários em uma máquina específica e quero desabilitar o restante dos usuários. Eu não tenho acesso administrativo ao servidor ldap. Isso pode ser feito. Se sim, como?
por exemplo. machine1, todos os usuários habilitados para ldap login machine2, somente xyz, e pqr tem permissão para fazer o login machine3, abc e def não são permitidos, todos os restos são permitidos.
Em suma, para permitir / impedir que um subconjunto de usuários acesse um determinado cliente ldap, sem privilégios de root / administrativos para o servidor ldap.
nsswitch.conf tem esta aparência:
passwd: files ldap
shadow: files ldap
group: files ldap
O cliente executa o Ubuntu 10.04 e o OpenLDAP.
Obrigado. EDIT: Por favor, note que embora eu sou proficiente no Linux, eu sou muito novo para o LDAP (nem sequer entendo bem a terminologia) e, portanto, uma solução fácil, simples e adhoc seria mais bem-vinda do que uma solução avançada.
Você lista informações sobre a configuração do diretório, mas o que você deseja é a configuração de autorização, ou seja, o PAM. Você pode realizar o que deseja usando pam_listfile, onde listaria todos os usuários com permissão para efetuar login em um arquivo e adicionar pam_listfile à pilha de pam.
Simples e adhoc, e tendo acesso root às máquinas clientes: habilite o pam_access na configuração pam e configure o /etc/security/access.conf. Veja as amostras no arquivo e pam_access (8).
Como outros disseram, verifique o access.conf para muitos outros exemplos.
É assim que fazemos na nossa loja.
Modifique o /etc/pam.d/sshd
#account required pam_nologin.so
account required pam_access.so
Modifique o /etc/security/access.conf
# root will get access from all sources
+ : root : ALL
# Disallow all except these two groups and this user
- : ALL EXCEPT group1 group2 userxyz : ALL
Tags authentication ldap linux