Eu tenho alguns servidores que servem diferentes propósitos (e, portanto, diferentes usuários usam cada um) que se autenticam em um servidor LDAP (não tenho permissão para modificar o conteúdo no servidor LDAP). Qual é uma maneira eficaz de gerenciar o acesso nesses servidores para que nem todos os usuários LDAP possam autenticar? Pensei em usar um servidor LDAP secundário para fornecer os grupos e usar o servidor primário apenas para autenticação, mas não vi nenhuma documentação para fazer isso e também não encontrei nenhuma interface de usuário simples. O ideal é que o gerenciamento de acesso também possa ser feito por meio de uma interface do usuário de algum tipo, de forma que usuários menos inclinados ao terminal possam alterar também os grupos de usuários.
Sugiro usar o módulo pam_access.so, que permite restringir o acesso com base em ldap_group, local-group, ldap_user, local_users.
vi /etc/pam.d/common-account ** depending on which distro the client Server is
account required pam_access.so
vi /etc/security/access.conf
+ : ALL : LOCAL
- : ALL EXCEPT LDAP_GROUP1 LOCAL_GROUP1 LocalUser ldap_User : ALL
** isso negaria todos, exceto para ldap_group1, local_group1, LocalUser, ldap_User