จะอนุญาตให้กลุ่มผู้ใช้บางกลุ่มลงชื่อเข้าใช้ผ่าน LDAP ได้อย่างไรในขณะที่คนอื่นสามารถใช้ LDAP หรือการเข้าสู่ระบบในเครื่อง

2

ฉันจัดการเพื่อตั้งค่าระบบของฉันให้ใช้ LDAP หรือรหัสผ่านท้องถิ่น (โดยเพิ่ม "รหัสผ่านที่เพียงพอ pam_ldap.so" ให้กับ PAM แล้วโทรหา "pam_unix2.so" ในภายหลัง) อย่างไรก็ตามฉันต้องการ จำกัด กลุ่มผู้ใช้บางกลุ่มให้สามารถใช้ LDAP ได้เท่านั้นและไม่มีทางเลือกสำรองของ pam_unix2.so มีวิธีทำเช่นนี้หรือไม่?

login ldap pam

— Arun
แหล่งที่มา

0

ฉันไม่คิดว่าจะมีจุดใดที่จะมีบัญชีท้องถิ่นสำหรับผู้ใช้ที่อยู่ใน LDAP เนื่องจากข้อมูลที่จำเป็นทั้งหมดสามารถโหลดได้จาก LDAP อย่างไรก็ตาม หากคุณลบบัญชีท้องถิ่นสำหรับผู้ใช้ที่ควรเข้าสู่ระบบผ่าน LDAP เท่านั้นดังนั้นจะไม่สามารถแก้ไขปัญหานี้ได้หรือไม่

— user46079
แหล่งที่มา

ได้คำตอบสำหรับเรื่องนี้ใน serverstack (ที่ฉันน่าจะโพสต์คำถามนี้ในตอนแรก) ทางออกคือการเพิ่มกลุ่มของผู้ใช้ "ldaponly" แล้วเพิ่ม "auth default = 1 success = ละเว้น] pam_succeed_if.so ผู้ใช้ notingroup ldaponly" ก่อน pam_unix2.so บรรทัด ... LDAP ส่วนใหญ่จะใช้สำหรับอีเมลที่นี่ดังนั้นเรา ไม่มีข้อมูลทั้งหมด (เช่นล็อกอินทุบตีโฮมไดเร็กตอรี่และอื่น ๆ ) แต่ฉันต้องการใช้สำหรับการยืนยันรหัสผ่าน (และเฉพาะที่) ขอบคุณที่เขาแสดงความคิดเห็น

— Arun

0

ในกรณีที่สิ่งนี้น่าสนใจสำหรับคนอื่นฉันพบคำตอบที่นี่:

https://serverfault.com/questions/196255/how-to-allow-a-certain-group-of-useres-to-only-login-via-ldap-while-others-can-us

— Arun
แหล่งที่มา