我希望某些PAM / LDAP专家可以在这里为我提供帮助。我最近在Ubuntu Server上设置了一个LDAP目录,以同时为我的客户端(用于基于Web的系统)和工作人员(需要通过SSH登录)保留帐户。
LDAP身份验证运行正常。但是我无法使用帐户限制:员工帐户将具有ID之间的ID 2001
,2999
并且将成为该ssh-users
组的成员以允许他们登录服务器。
有问题的限制是/etc/ldap.conf
,和是pam_min_uid
,pam_max_uid
和pam_groupdn
。
pam_groupdn
包含我ssh-users
组的完整DN 。 pam_min_uid
= 2000
和pam_max_uid
= 2999
。
现在,我设法通过添加以下内容使它们工作:
account [success=1 default=ignore] pam_ldap.so
上面的pam_unix.so
在线/etc/pam.d/common-account
。但是,本地Unix帐户然后将无法登录:SSH服务器会在尝试后立即终止连接。
我已经在上面的文件中将pam_ldap.so
模块设置为sufficient
,但是无效的用户会收到一条消息,指出他们无法登录,但是无论如何它都会登录。
因此,如何在仍允许UNIX用户登录的同时为LDAP用户设置这些帐户限制?
您可能会猜到我是PAM的新手,尽管我设法使“自动创建主目录”模块起作用了:-)
非常感谢,安迪