Ubuntu 10.04: Restringir o acesso LDAP por grupo (OpenDirectory no Mac OS X Server)

1

Em poucas palavras, quero autenticar os usuários de um servidor Ubuntu 10.04 em um OpenDirectory LDAP do Mac OS X Server, mas SOMENTE permita o acesso se eles forem membros de um grupo no lado do LDAP.

Usando alguns guias e experiências anteriores, posso obtê-lo para que a parte de autenticação funcione - essa parte é simples:

$ sudo apt-get install libpam-ldap libnss-ldap nss-updatedb

e insira o URI do LDAP, a base de pesquisa, etc., conforme solicitado.

Nesse ponto, consigo ver os usuários / grupos no servidor LDAP do OpenDirectory

# getent passwd

# getent group

E eu posso até mesmo ssh para a caixa como qualquer um dos usuários

O problema é: não consigo descobrir como restringir o acesso a apenas um determinado grupo de usuários (por exemplo, testssh)

Usando este guia , fiz as seguintes alterações no / arquivo etc / ldap.conf:

pam_groupdn cn=testssh,cn=groups,dc=myserver,dc=mycompany,dc=net

pam_member_attribute uniquemember

Espero que alguém tenha resolvido esse problema e eu esteja sentindo falta de algo óbvio!

    
por mikehapner 31.07.2010 / 19:08

2 respostas

2

Dê uma olhada em /etc/security/access.conf . As alterações nesse arquivo afetarão tudo o que usar o pam e o módulo pam_access e permitirá que você restrinja o login por meio da participação no grupo.

Você pode verificar a associação do grupo com ' getent group <group name> '

    
por 31.07.2010 / 23:46
0

Eu não tenho Mac, mas é assim que faço e acho que você pode fazer o mesmo.

coloque o seu sshd_config no mac:

AllowGroups testssh

permitirá apenas os usuários em testes no grupo LDAP

    
por 31.07.2010 / 22:43