CentOSコンピュータがあり、Windows ADに正常に接続されました。 CentOSクライアントのADにある既存のユーザーを使用してSSH経由で接続できます。これで、特定のADグループ(管理者)だけがログインできるようにしたいが機能しません。まずログインを無効にします。
realm deny -R mydomain.local -a
働く第二に、特定のグループ、すなわちADのグループを許可したいと思います。
distinguishedName: CN=Admins,OU=Users-All,OU=Users,DC=mydomain,DC=local
2つの方法を使用しましたが、どちらも機能しないようです。
realm permit -g Admins
realm permit -g 'mydomain.local\\Users\Users-All\Admins'
私はLinux用ADに初めて触れたので、私が何が間違っているかを提案してもらえますか?
ありがとうございます!
答え1
編集を通じてこれを得た /etc/security/pam_winbind.conf
require_membership_of = S-1-5-21-361205316-2009527927-3895120483-1111,localgroup1
次のコマンドを使用してS-1-...文字列を見つけることができます。wbinfo -G "User all"
答え2
問題が発見されました。 sssl.confでad_access_filterを使用するには、LinuxシステムにADのユーザーオブジェクトを読み取る権限が必要です。私たちのシステム管理者と会話した後、彼は権限を与えていました... :)