ldap 权限认证

fsm11

我现在可以通过openldap 来集中管理用户与登陆。但是无法实现权限控制，既在openldap 下面指定那个用户只能登陆那些机器。（目前只要是LDAP中有用户，可以登陆所有的服务器。无法进行权限控制）。大侠们指点一下思路与方法。

jxg945

个人认为ldap本身就是一个集中管理帐户的。凡是ldap客户端机器，其认证方式如果是ldap认证方式都会去查询ldap服务器的用户信息，ldap服务器用户信息是唯一的，换句话说，就是如果你用一个叫张三的用户登陆，不管你登陆哪个ldap客户端都是去ldap服务器去查找张三的信息去匹配。个人见解。如有错误，请大家指正。

fsm11

原帖由 jxg945 于 2009-3-9 17:15 发表
个人认为ldap本身就是一个集中管理帐户的。凡是ldap客户端机器，其认证方式如果是ldap认证方式都会去查询ldap服务器的用户信息，ldap服务器用户信息是唯一的，换句话说，就是如果你用一个叫张三的用户登陆，不管 ...

    这个是没有错，但是我觉得应该还有一个选项来选择 HOST。即可以授权那些用户登陆哪些机器，应该有这么一个objectclass

liu-shaobo

顶一下，这个问题很有意思，也经常要用到；

aaaaaa

方法是可以实现的，条件是需要配合pam、nss来管理，借助系统配置文件和ldap数据，可以实现你要的效果。实现很复杂，但是可行。

fsm11

原帖由 aaaaaa 于 2009-3-9 23:28 发表
方法是可以实现的，条件是需要配合pam、nss来管理，借助系统配置文件和ldap数据，可以实现你要的效果。实现很复杂，但是可行。

   指导一下

fsm11

自己解决了，原来是客户端有两个ldap.conf配置文件，一个是ldap client /etc/openldap ,一个是nss_ldap /etc/ldap.conf，我一直在调整  /etc/openldap/ldap.conf 的配置文件，客户端登陆的时候实际上先查找  /etc/ldap.conf这个配置文件。
   只要 mv /etc/ldap.conf /etc/ldap.conf.old
     ln -sv /etc/openldap/ldap.conf  /etc/ldap.conf
   然后在ldap.conf 文件总加入：pam_filter |(gidNumber=10)(gidNumber=501)(gidNumber=500)
   就可以了（可以添加多个）。
  /usr/share/doc/nss_ldap-253 这个目录下面有详细的说明。
   我的安装都是redhat as5 下面默认的软件包：server 端
  [root@test2 schema]# rpm -qa|grep openldap
openldap-servers-2.3.43-3.el5
openldap-servers-overlays-2.3.43-3.el5
openldap-clients-2.3.43-3.el5
openldap-servers-sql-2.3.43-3.el5
openldap-2.3.43-3.el5
openldap-devel-2.3.43-3.el5
客户端：
rpm -qa|grep ldap
openldap-devel-2.3.43-3.el5
openldap-clients-2.3.43-3.el5
nss_ldap-253-17.el5
openldap-2.3.43-3.el5
mozldap-6.0.5-1.el5
也可以使用nss_base 这个选项来实现，但是需要另外编译一些其他的选项，说明文档里面有说明。谢谢各位。

参考文档：http://bbs2.chinaunix.net/thread-960454-1-2.html

[ 本帖最后由 fsm11 于 2009-3-10 14:19 编辑 ]

liu-shaobo

请教兄弟

指定那个用户只能登陆那些机器
ldap.conf 文件总加入：pam_filter |(gidNumber>=10)(gidNumber=501)(gidNumber=500)

这些gidNumber就是能登陆的是吧

fsm11

原帖由 liu-shaobo 于 2009-3-10 13:22 发表
请教兄弟


这些gidNumber就是能登陆的是吧

   对，这个gidNumber 就是用来登陆的组ID,也可以是UID

mjwdj

感谢楼主，又学到一招！