GNU/Linux >> Linux の 問題 >  >> Linux

Linux + Active Directory 認証 + 特定のグループのみのログインを許可

解決策 1:

グループが Linux システムで使用可能であると仮定すると、/etc/security/access.conf を編集することをお勧めします。 Ubuntu、RedHat ディストリビューション (およびそのフォーク)、およびおそらく他の多くのディストリビューションの場合。これは PAM ファイルの編集を必要とせず、それを行う標準的な場所です。通常、ファイルにはコメントアウトされた例があります。

解決策 2:

(ここでは samba 3 について話しているので、samba 4 の経験はありません。)

これらの /etc/pam.d/xxx ファイルを編集する必要はありません。 pam_winbind.conf 通常は /etc/security/pam_winbind.conf にあります。 .

pam_winbind モジュールの設定ファイルで、CentOS/Redhat と Debian/Ubuntu の両方で動作します。参照用に pam_winbind.conf の man ページを読むことができます。

サンプル ファイルは次のとおりです。

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

[global]

# turn on debugging
;debug = no

# turn on extended PAM state debugging
;debug_state = no

# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes

# authenticate using kerberos
;krb5_auth = no

# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
;krb5_ccache_type =

# make successful authentication dependend on membership of one SID
# (can also take a name)
# require_membership_of = SID,SID,SID
require_membership_of = S-1-5-21-4255311587-2195296704-2687208041-1794

# password expiry warning period in days
;warn_pwd_expire = 14

# omit pam conversations
;silent = no

# create homedirectory on the fly
mkhomedir = yes

解決策 3:

私は現在 AllowGroups を使用しています /etc/ssh/sshd_config のディレクティブ ログインできる人を制限します。その行で 1 つ以上の AD グループを指定すると、それらの人だけがログインできるようになります。

これは、ユーザーが のみ の場合にのみ機能することに注意してください。 ssh経由でサーバーにリモートアクセスします。彼らがローカルで歌っている場合は、別の解決策を見つける必要があります。

解決策 4:

はい、正確に何を達成しようとしているかに応じて、これを行う方法がいくつかあります。

最初の方法は、samba 構成を介して実行できます。これにより、これらのユーザーのみが Samba に接続できるようになり、他のユーザーは他のサービス (ssh、ローカル用語など) を介してログインできます。これにより、smb.conf の [global] セクションに次の行を追加する必要があります:

valid users = @groupA @groupB

もう 1 つの方法は、PAM ルールを変更することです。ここではディストリビューションによって若干の違いがありますが、一般的に言えば、サービスごとの PAM ルールと共通のルールがあり、何が最適かを判断できます。 pam_require モジュールを使用してアカウント制限を追加する必要があります。私のラップトップ (Fedora 13) の例では、/etc/pam.d/system-auth のアカウント セクションを次のように変更します。

account     required      pam_unix.so
account     required      pam_require.so @groupA @groupB
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

管理を簡素化するために、このサーバーにログインできるユーザーを追跡する目的で、AD に新しいグループを作成することをお勧めします。


Linux

  1. Active DirectoryユーザーによるGit認証?

  2. Linux の JAVA_HOME ディレクトリ

  3. LinuxのNOTディレクトリのディレクトリ内のファイルのみを削除します

  1. Linuxで特定のサイズの画像のみを一括コピーする方法

  2. 公開鍵認証のみでの root ssh ログインを許可する

  3. Linux サーバーの Active Directory 認証に関する一般的な知恵は?

  1. Active Directoryでユーザーとグループを作成、管理、および削除します

  2. CentOS/RHEL 7 クライアントにログインする Active Directory ユーザーとグループを制限する方法

  3. Linux ディレクトリ移動コマンド