Mam kilka Linux-ów, które używają uwierzytelniania Windows Active Directory, które działa dobrze (Samba + Winbind).
Chciałbym teraz zezwolić tylko niektórym osobom lub określonym grupom na logowanie się przy użyciu poświadczeń Active Directory. Obecnie każdy z ważnym kontem AD może się zalogować. Chcę ograniczyć to tylko do kilku grup. Czy to jest wykonalne?
(Mówię tutaj o sambie 3, teraz nie ma doświadczenia na sambie 4).
Nie ma potrzeby edytowania tych plików /etc/pam.d/xxx. pam_winbind.conf to plik, który chcesz, zwykle znajduje się w /etc/security/pam_winbind.conf .
Jest to plik konfiguracyjny modułu pam_winbind i działa zarówno dla CentOS / Redhat, jak i Debian / Ubuntu. Możesz przeczytać stronę podręcznika pam_winbind.conf w celach informacyjnych.
Oto przykładowy plik.
źródło
Obecnie używam
AllowGroups
dyrektywy w/etc/ssh/sshd_config
celu ograniczenia, kto może się zalogować. Podaj jedną lub więcej grup AD w tej linii, a te osoby będą jedynymi, które będą mogły się zalogować.Należy pamiętać, że to działa tylko jeśli użytkownicy są tylko dostęp do serwera zdalnie poprzez ssh. Jeśli śpiewają lokalnie, musisz znaleźć inne rozwiązanie.
źródło
Tak, istnieje kilka sposobów na zrobienie tego w zależności od tego, co dokładnie chcesz osiągnąć.
Pierwszą metodę można wykonać za pomocą konfiguracji samby. Umożliwi to tylko tym użytkownikom łączenie się z Sambą, inni użytkownicy mogą nadal logować się za pośrednictwem innych usług (ssh, termin lokalny itp.). Dzięki temu będziesz chciał dodać linię do swojej [globalnej] sekcji w smb.conf:
Inną metodą jest modyfikacja reguł PAM. Różne dystrybucje mają tutaj niewielkie różnice, ale ogólnie mówiąc, istnieją reguły PAM na usługę, a także wspólne reguły, możesz zdecydować, co jest najlepsze. Będziesz chciał dodać ograniczenie konta za pomocą modułu pam_require. Przykładem na moim laptopie (Fedora 13) może być zmodyfikowanie sekcji konta w /etc/pam.d/system-auth, aby:
Aby uprościć administrację, możesz chcieć utworzyć nową grupę w AD w celu śledzenia użytkowników, którzy mogą zalogować się na tym serwerze.
źródło
Walczyłem z tym, żeby którykolwiek z powyższych pracował dla mnie w RHEL 7. Poniżej znajduje się to, co udało mi się dostać do pracy.
/etc/sssd/sssd.conf
Zmień
access_provider = ad
naaccess_provider = simple
+simple_allow_groups = @[email protected], @[email protected]
visudo
%[email protected] ALL=(ALL) ALL
uruchom ponownie usługę sssd.
źródło
Osiągnąłem, że tylko jeden AD_USER lub AD_GROUP może ssh zalogować się do systemu Linux za pomocą uwierzytelnienia AD.
Szczegóły są wymienione jak tutaj: (zwróć uwagę na krok 7 i 8)
https://gist.githubusercontent.com/xianlin/8c09d916994dac7630b9/raw/ee07817a03bc5904a5404a7e7c94e08ea0c7560a/CentOS_AD_Integration
źródło