Encontrou o problema. Usando o ad_access_filter em sssl.conf, o computador linux precisa ter as permissões para ler o objeto do usuário no AD. Depois de conversar com nosso administrador do sistema, ele concedeu a permissão e agora funciona ...:)
Eu tenho uma máquina do CentOS que conectei com sucesso a um Windows AD. Eu posso fazer login ssh com qualquer usuário existente no AD no cliente CentOS. Agora quero permitir que apenas um grupo AD específico faça o login (admins), mas não está funcionando. Primeiro, estou desativando o login com
realm deny -R mydomain.local -a
Funciona. Segundo, eu quero permitir um grupo específico, que é, vindo de AD:
distinguishedName: CN=Admins,OU=Users-All,OU=Users,DC=mydomain,DC=local
Eu usei duas abordagens, mas nenhuma delas parece funcionar:
realm permit -g Admins
realm permit -g 'mydomain.local\Users\Users-All\Admins'
Desde que eu sou muito novo no AD com o linux, alguma sugestão do que estou fazendo errado?
Obrigado!
Eu consegui isso editando /etc/security/pam_winbind.conf
require_membership_of = S-1-5-21-361205316-2009527927-3895120483-1111,localgroup1
você pode descobrir a string S-1 -... usando wbinfo -G "User all"
Tags active-directory centos