Debian Jessie で OpenLdap を使用して Kerberos MIT 認証設定を自動化しようとしています。
Kerberosアカウントを使用してSSHにログインできるため、認証部分は正常に機能します。
pam_mkhomedir.so を使用してユーザーのホームディレクトリを作成することもできます。
ただし、Ldap posixGroupを使用してSSHサーバーへのアクセスを許可することはできません。
これが出力ですgetent group
getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc
これはsshd_configから抜粋したものです:
AllowGroups adminsLinux
以下はログファイルです。
sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]
これがid tupac
出力です
uid=20003(tupac) gid=20003 groups=20003
tupacユーザーはどのUnixグループにも属していませんが、OpenLdap posixGroupベースのアクセスを許可したいと思います。私は/etc/nsswitch.conf設定とgetentグループチェックがposixGroupsベースのアクセス権を与えるのに十分だと思います。
答え1
uid=tupac,ou=people,dc=maytacapac,dc=inc
私が見たほとんどのLDAPは、LDAP DNは含まず、ユーザー名だけを含むグループメンバーシップを提供するため、正しくないようです。したがって、これを確認したいと思いますadminsLinux:*:3000:tupac
。