LINUX.ORG.RU

Re: LDAP и ограничения доступа

http://www.opennet.ru/base/net/openldap.txt.html

"Ещё одной интересной возможностью ldap является возможность проверки хоста.
Часто нельзя, чтобы любой человек, занесённый в базу ldap мог пользоваться вашим
компом(мало ли чего, вдруг это начальник ;). Поэтому можно добавить к учётным
записям пользователей хосты, на которые эти пользователи могут
логиниться(повторяю: не откуда может поступать запрос, а куда они могут
входить, то есть нельзя удалённо пройти аутентификацию на машине X, если это не
разрешено). Для этого необходимо добавить к каждой записи пользователя следующие
атрибуты:

host: name_of_host1
host: name_of_host2
...
host: name_of_hostn

Для модификации базы данных можно воспользоваться программой ldapmodify:

ldapmodify -H ldap://localhost -D "cn=root,dc=test,dc=ru" -x -W -f host-auth.ldif

А сам файл host-auth.ldif должен содержать следующее

dn: uid=user_name,ou=People,dc=test,dc=ru
changetype: modify
add: host
host: name_of_host1
host: name_of_host2
host: name_of_hostn

Придётся повторить это для каждого пользователя! Разумнее написать скрипт, но я
возложу это на ваши могучие плечи. После этого надо сделать ещё изменения в
/etc/ldap.conf В данном файле необходимо указать, что нужно ещё смотреть атрибут host:

pam_check_host_attr yes
"

dexpl ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.