目的:配置linux主机使用ldap用户后,如果ldap中添加一个用户就相当于所有linux主机添加了这个用户,这个用户可以ssh到所有的linux主机进行访问操作。这样的话权限就太大了,我们要实现的是只允许一个用户访问部分linux主机。
1.修改/etc/pam_ldap.conf
添加如下属性值:
pam_check_host_attr yes
2.修改用户,添加host属性值
编辑更改文件:
vi change.lidf
dn: uid=test,ou=People,dc=yinkp,dc=com
changetype: modify
add: host
host: host52
使用ldap命令进行修改:
ldapmodify -x -D cn=root,dc=yinkp,dc=com -w 123456 -f change.lidf
检查属性值是否加上:
ldapsearch -x -b 'uid=test,ou=people,dc=yinkp,dc=com' |grep test
检查在host52主机上能否使用该用户
可以使用ssh登陆验证。
ssh test@host52
在其它主机上能否使用该用户:
ssh test@hostx
预期结果:如果主机列表不包含用户想要访问的系统的主机名,则拒绝访问。如果主机列表为空(即,不存在主机属性),则默认情况下拒绝用户访问。
注:该种方法只能根据机器的域名来限制用户登陆。
网友评论