我需要管理几个linux主机,并尝试使用OpenLDAP设置集中式身份验证机制。 所以在ldap服务器上:
ou=Group,dc=example,dc=com
\_cn=test_group (groupOfNames),ou=Group,dc=example,dc=com
\_ member: uid=test_user,ou=User,dc=example,dc=com
ou=User,dc=example,dc=com
\_uid=test_user (posixAccount),ou=User,dc=example,dc=com
\_uid=another_user (posixAccount),ou=User,dc=example,dc=com
在一个Linux客户端上,我想只允许 test_group 组的成员访问,所以在/etc/ldap.conf中:
base dc=example,dc=com
uri ldap://ldap_server_ip
ldap_version 3
rootbinddn cn=admin,dc=example,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_groupdn cn=test_group,ou=Group,dc=example,dc=com
pam_member_attribute member
但 another_user 用户也可以登录!我做错了什么?感谢
答案 0 :(得分:0)
好的,问题来自/etc/pam.d目录中的自动配置。例如,公共帐户文件包含:
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
需要更改为:
account sufficient pam_ldap.so
account required pam_unix.so
现在一切都好。