- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:LDAP-OS認証 グループによる制限)
LDAP-OS認証の特定グループ制限方法
このQ&Aのポイント
- LDAP-OS認証の設定がされているLinuxサーバへのログイン制限について説明します。
- 特定のグループに所属しているユーザのみログインを許可する方法を解説します。
- 具体的な設定方法について、pam_groupdnとpam_member_attributeを修正する方法を詳しく説明します。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
>/etc/ldap.conf が有効になってない気がしてきました。 通常/etc/ldap.confはnssの設定ファイルですね。 pamは/usr/local/etc/ldap.confを見に行ってませんか? 共有するためシンボリックリンクしておけばよいでしょう。 ln -s /etc/ldap.conf /usr/local/etc/ldap.conf ちなみに私の環境ではGroupはPeopleの下におかず dn: cn=users,ou=Group,dc=abc,dc=jp objectClass: posixGroup objectClass: top cn: users gidNumber: 1001 のようにしてますので若干ちがうのかもしれません
その他の回答 (1)
- yambejp
- ベストアンサー率51% (3827/7415)
回答No.1
pam_filter gidNumber=603 とか?
質問者
補足
yambejp さん 回答ありがとう、ございます。 >pam_filter gidNumber=603 変わらず3人ともログインできてしまいました。 pam_filter はユーザエントリ内の属性をフィルタできるようです。 ユーザエントリのgidNumberは3人とも 600になっています。 pam_filter に gidNumber=603を書いたら、誰もログインできなくなるはずです。 /etc/ldap.conf が有効になってない気がしてきました。 特にサービスの再起動は要らないはずですし、なぜでしょう?
お礼
memberUid:cn=user1,ou=People,dc=abc,dc=jp と登録することによりうまくいきました。 ありがとうございました。
補足
yambejpさん 再度回答ありがとうございます。 そもそも、こちらの環境に誤りがありました。 まずgrp1 が正しく登録されていなかった。(致命的です。。) >ちなみに私の環境ではGroupはPeopleの下におかず 仰るとおりで間違っていました。全て見直しました。 またログインですが、suとsshで挙動が違います。 (suはログインでないかもしれませんが。。。) suは 現在は3人ともログインできてしまう。 sshは3人ともログインできません。 PAMによる設定の違いでしょうか? PAMをもっとしっかり勉強する必要がありそうです。 sshでログインすると LDAPサーバ(slapd)のログに下記内容が出力されます。 /var/log/slapdの内容 Feb 15 22:10:25 abcldap slapd[14334]: conn=57 op=2 CMP dn="cn=grp1,ou=Group,dc=abc,dc=jp" attr="memberUid" Feb 15 22:10:25 abcldap slapd[14334]: conn=57 op=2 RESULT tag=111 err=5 text= グループのコンペアがFALSE(err=5)であることを示します。 ところが ldapcompare を直接実行するとTRUE(err=6)となります。 # ldapcompare -x -W 'cn=grp1,ou=Group,dc=mde,dc=jp' 'memberUid:devuser1' /var/log/slapdの内容 Feb 15 22:13:50 abcldap slapd[14334]: conn=58 op=1 CMP dn="cn=grp1,ou=Group,dc=abc,dc=jp" attr="memberUid" Feb 15 22:13:50 abcldap slapd[14334]: conn=58 op=1 RESULT tag=111 err=6 text= コンペアの右辺がログには出力されていないので、同じコンペア式になっている かわかりませんが、ふに落ちないところです。 以上、よろしくお願いいたします。