Saya memiliki beberapa kotak linux yang menggunakan otentikasi Direktori Aktif Windows, yang berfungsi dengan baik (Samba + Winbind).
Apa yang ingin saya lakukan sekarang adalah hanya mengizinkan orang atau kelompok tertentu untuk masuk menggunakan kredensial Active Directory. Saat ini siapa pun yang memiliki akun AD yang valid dapat masuk. Saya ingin membatasi ini hanya untuk beberapa grup. Apakah ini bisa dilakukan?
(Saya berbicara tentang samba 3 di sini, tidak ada pengalaman pada samba 4 sekarang.)
Tidak perlu mengedit file /etc/pam.d/xxx tersebut. pam_winbind.conf adalah file yang Anda inginkan, biasanya terletak di /etc/security/pam_winbind.conf .
Ini adalah file konfigurasi modul pam_winbind, dan berfungsi baik untuk CentOS / Redhat dan Debian / Ubuntu. Anda dapat membaca halaman manual pam_winbind.conf untuk referensi.
Berikut ini contoh file.
sumber
Saat ini saya menggunakan
AllowGroups
arahan/etc/ssh/sshd_config
untuk membatasi siapa yang bisa login. Tentukan satu atau lebih grup AD pada baris itu, dan orang-orang itu akan menjadi satu-satunya yang dapat login.Perlu diingat bahwa ini hanya berfungsi jika pengguna Anda hanya mengakses server dari jarak jauh melalui ssh. Jika mereka bernyanyi secara lokal, Anda harus mencari solusi lain.
sumber
Ya, ada beberapa cara untuk melakukan ini tergantung pada apa yang ingin Anda capai dengan tepat.
Metode pertama dapat dilakukan melalui konfigurasi samba. Ini hanya akan memungkinkan pengguna untuk terhubung ke Samba, pengguna lain masih dapat masuk melalui layanan lain (ssh, istilah lokal, dll). Dengan ini, Anda ingin menambahkan baris ke bagian [global] Anda di smb.conf:
Metode lainnya adalah dengan memodifikasi aturan PAM. Distribusi yang berbeda memiliki sedikit perbedaan di sini, tetapi secara umum ada aturan PAM per layanan serta aturan umum, Anda dapat memutuskan mana yang terbaik. Anda ingin menambahkan batasan akun menggunakan modul pam_require. Contoh pada laptop saya (Fedora 13) adalah memodifikasi bagian akun di /etc/pam.d/system-auth ke:
Untuk menyederhanakan administrasi, Anda mungkin ingin membuat grup baru dalam AD untuk tujuan melacak pengguna yang dapat masuk ke server ini.
sumber
Saya berjuang untuk mendapatkan salah satu di atas untuk bekerja untuk saya di RHEL 7. Di bawah ini adalah apa yang saya bisa mulai bekerja.
/etc/sssd/sssd.conf
Ubah
access_provider = ad
keaccess_provider = simple
+simple_allow_groups = @[email protected], @[email protected]
visudo
%[email protected] ALL=(ALL) ALL
restart layanan sssd.
sumber
Saya telah mencapai biarkan hanya satu AD_USER atau AD_GROUP untuk ssh login kotak linux melalui otentikasi AD.
Detailnya tercantum di sini: (perhatikan langkah 7 dan 8)
https://gist.githubusercontent.com/xianlin/8c09d916994dac7630b9/raw/ee07817a03bc5904a5404a7e7c94e08ea0c7560a/CentOS_AD_Integration
sumber