linux – 在没有pam_groupdn的情况下管理LDAP登录到机器:允许多个组

前端之家收集整理的这篇文章主要介绍了linux – 在没有pam_groupdn的情况下管理LDAP登录到机器:允许多个组前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我相信你们中的一些人已经解决了同样的问题.我希望有人比我现在做的更好.

所以,你在LDAP目录中有一些用户,有一天你会说“嘿!我可以通过SSH对这件事进行身份验证!”这很好.

然后有一天你意识到你只希望某些用户能够进入一台机器.比如说,开发人员应该只能进入开发盒,而不是生产.你做了一些谷歌搜索,找到pam_groupdn,它在你的LDAP配置(/etc/ldap.conf)中,如下所示:

pam_groupdn CN=developers,OU=groups,DC=yourcompany

而且,再次,它是好的.你为prod创建另一个组,为QA创建另一个组等.也许有一天你有第二个产品开发组,所以他们得到了他们自己的组.随你.

然后有一天你有一台服务器,开发人员和QA都需要能够登录.呃……事实证明,pam_groupdn不会采用多个值.你是做什么?好吧,如果你没有多想,你会说“哦,我只会做一个开发人员和QA小组!”.

pam_groupdn CN=developers-and-QA,DC=yourcompany

那是……不好,但没关系,对吧?

然后有一天你会得到另一个开发人员,你意识到你需要将他们添加到15个组,因为有开发人员和QA,产品1和产品2,开发人员,他们有访问权限等等.废话.

必须有更好的方法来做到这一点,对吧?我通过电子邮件发送了pam_ldap的开发人员,他们说不幸的是没有办法让pam_groupdn获取多个值(在代码中没有黑客攻击).

任何人都希望分享他们如何管理LDAP中的组群而无需复制/粘贴?

解决方法

如果您使用的是NSS,则可以在/ etc / ssh / sshd_config中设置AllowGroups参数.如果没有,你应该看看 dynamic lists
dn: cn=devandqa,ou=groups,dc=company,dc=com
cn: devandqa
objectClass: groupOfNames
labeledURI: ldap:///ou=groups,dc=com?memberUid?one?(|(cn=developers)(cn=qa))

这样的事情.您还需要包含架构并包含叠加层等….所以这是一个开始.

猜你在找的Linux相关文章