質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • Linux

    3655questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • AWS(Amazon Web Services)

    1922questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • LDAP

    83questions

    LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。

LDAPにてサーバ毎のアクセス制限をしたい

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 805

brownbunny

score 3

前提・実現したいこと

LDAPでサーバ毎にSSHでログインできるユーザを制御したい。
現在、「開発」「本番」に分かれた複数のサーバがあり、ユーザはLDAPで一括管理している。

実現したい事は、あるユーザは「開発」サーバのみログインでき、
あるユーザは「開発」・「本番」サーバどちらもアクセスできるという仕組みを作りたい。

方法は問わないので、実現可能な手段を教えてください。

発生している問題・エラーメッセージ

下記記事①を参考に設定を行ったが、
アクセスをブロックしたいユーザであるにも関わらず、SSHログインができてしまう。

<記事①>
https://open-groove.net/openldap/ldap-acl/

また、同じような内容の下記記事②についても、検証しようとしたが、
当方の環境には「/etc/ssh/ldap.conf」が存在しないため、設定ができない。

<記事②>
http://qiita.com/T_Tsan/items/b9416fbf71404b9cc854

試したこと

上記記事①を参考にユーザのエントリにdescriptionアトリビュート(ここでは「B」としています。)を追加し、アクセスをブロックしたいサーバ側の「ldap.conf」にて、pam_filterに制御内容(pam_filter &(objectclass=posixaccount)(description=A))を記載した。

具体的には以下のとおり設定しています。

  • ユーザエントリ
# user02, People, example.com
dn: uid=user02,ou=People,dc=example,dc=com
uid: user02
cn: Test User 02
objectClass: account
objectClass: posixAccount
objectClass: top
loginShell: /bin/bash
uidNumber: 5002
gidNumber: 3002
homeDirectory: /work/home/user02
description: B   #追加したdescription
  • ブロックしたいサーバのldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never

TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://XX.XX.XX.XX/ ldap://XX.XX.XX.XX/
BASE dc=example,dc=com
pam_filter &(objectclass=posixaccount)(description=A)

補足情報(言語/FW/ツール等のバージョンなど)

環境等は以下の通り

【LDAP サーバ側】

  • Linux version 4.9.43-17.39.amzn1.x86_64
  • nss-pam-ldapd.x86_64      0.7.5-20.12.amzn1                @amzn-main
  • openldap.x86_64           2.4.40-12.30.amzn1               installed
  • openldap-clients.x86_64   2.4.40-12.30.amzn1               @amzn-main
  • openldap-servers.x86_64   2.4.40-12.30.amzn1               @amzn-main
  • pam_ldap.x86_64           185-11.8.amzn1                   @amzn-main

【LDAP クライアント側】

  • Linux version 4.9.38-16.35.amzn1.x86_64
  • nss-pam-ldapd.x86_64        0.7.5-20.12.amzn1                @amzn-main
  • openldap.x86_64             2.4.40-12.30.amzn1               installed
  • openldap-clients.x86_64     2.4.40-12.30.amzn1               @amzn-main
  • pam_ldap.x86_64             185-11.8.amzn1                   @amzn-main
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

このバージョンの nss-pam-ldapd, pam_ldap の場合、/etc/pam_ldap.conf に pam_filter を設定すればいいはずです。
/etc/ssh/ldap.conf は見たことがないです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/27 09:28

    /etc/pam_ldap.confに同様の記述をしたところ、ログイン制御できました。ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Linux

    3655questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • AWS(Amazon Web Services)

    1922questions

    Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

  • LDAP

    83questions

    LDAPは、ディレクトリデータベースにアクセスするためのプロトコルです。ディレクトリデータベースとは、ネットワークに存在するメールアドレスや環境などさまざまな情報を一元的に管理するサービスのことで、クライアントはLDAPサーバにアクセスしてユーザ名から検索や追加などの操作することができます。