Я работаю в университете. Я могу получить доступ к университетскому серверу LDAP, но не могу ничего изменить (мне это доступно только для чтения). У меня есть несколько машин Linux, я хочу настроить все машины для аутентификации через университетский LDAP. (это довольно легко, правда?). Проблемы:

Только подмножеству пользователей LDAP разрешено входить на компьютер (я знаю, что это можно сделать через группу LDAP или дополнительный атрибут LDAP, но я не могу ничего изменить в LDAP университета). Некоторые пользователи могут отсутствовать в LDAP. но у меня есть учетные записи на компьютере. Моя мысль такова: используйте /etc /passwd в качестве списка пользователей: if (пользователь НЕ в списке) {он не может войти в систему}} else {if (он находится в LDAP) {проверьте его пароль еще раз в университете LDAP} else {проверьте его пароль снова /etc /shadow}}

Есть ли решение? Любая помощь приветствуется.

|источник

1 ответ1

0

Чтобы разрешить вход в систему только подмножеству пользователей LDAP:

  1. Если у вас есть способ отфильтровать их без изменения сервера LDAP, вы можете добавить фильтр в файл /etc/nslcd.conf , например:

    filter passwd (objectClass=localAccount)

  2. В противном случае вам придется разрешить всем пользователям LDAP быть локальными пользователями и предоставить разрешения только тем, кому вы хотите, например, изменив /etc/security/access.conf и / или /etc/ssh/sshd_config .

Для того, чтобы иметь дополнительных локальных пользователей, помимо пользователей с сервера LDAP, вам понадобится ваш файл /etc/nsswitch.conf который будет содержать что-то вроде:

passwd: files [unavail=return] ldap
group:  files [unavail=return] ldap
shadow: files ldap

Я надеюсь, что я не забуду что-то ...

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .