ldapパスワード認証

Linuxにてldap認証時、認証可能なユーザーを、/etc/passwdに記載し、ログイン時一致したユーザのパスワードだけをldapサーバに問い合わせすることはかのうですか？
LDAP,サーバは他システムと共用で使用しているため、Linuxにログインできるユーザを制限したくおもいます。

2022/07/01 03:09

/etc/passwdに記載のアカウントと関連付けでのLDAP認証は難しいと思います。 > LDAP,サーバは他システムと共用で使用しているため、Linuxにログインできるユーザを制限したくおもいます。単にOS認証をLDAP認証にすれば良い気がしますが、それでは駄目なのでしょうか?

2022/07/01 03:22

回答ありがとうございます。 LDAPに登録されている全ユーザがLDAP認証にてログインしてしまうので、Linux側でユーザーを限定したいという趣旨があります。

2022/07/01 03:48

このようなものはOS設計時に行っておくものなので、後での改変は手間となりますが、OS認証はLDAP Search Base DNを現在運用しているものと違うものにする、slapd.confで制御する、pamで制御する等色々手段はあると思います。

行動規範の内容に同意します

回答1件

sssd などで LDAP ユーザーを OS ユーザーとして見えるようにした上で、PAM の account セクションで制限することになると思います。
方法はいろいろあると思いますが、pam_access で制限するとか、pam_localuser を必須とするとか。

/etc/pam.d/password-auth, /etc/pam.d/system-auth などで pam_access が有効になっていることを確認します。

account     required      pam_access.so

/etc/security/access.conf に許可するユーザーを列挙します。

+:root:ALL
+:user1:ALL
+:user2:ALL
+:user3:ALL
    :
-:ALL:ALL

/etc/pam.d/password-auth, /etc/pam.d/system-auth など

account     sufficient    pam_localuser.so
    ↓
account     requisite     pam_localuser.so

投稿2022/07/01 06:14

総合スコア12202

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

まだベストアンサーが選ばれていません

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.31%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問をすることでしか得られない、回答やアドバイスがある。