DebianJessieでOpenLdap自動起動を使用してKerberos MIT認証をセットアップしようとしています。
Kerberosアカウントを使用してSSHにログインできるため、認証部分はうまく機能しています。
Pam_mkhomedir.soを使用してユーザーのホームディレクトリを作成することもできます
ただし、LdapposixGroupを使用してSSHサーバーへのアクセスを許可することはできません。
これがgetent group
の出力です
getent group | grep tupac
adminsLinux:*:3000:uid=tupac,ou=people,dc=maytacapac,dc=inc
これがsshd_configの抜粋です:
AllowGroups adminsLinux
ログファイルは次のとおりです。
sshd[3305]: User tupac from a.b.c.d not allowed because not in any group
sshd[3305]: input_userauth_request: invalid user tupac [preauth]
sshd[3305]: Connection closed by a.b.c.d [preauth]
これがid tupac
出力です
uid=20003(tupac) gid=20003 groups=20003
tupacユーザーはUnixグループの一部ではありませんが、OpenLdapposixGroupに基づいてアクセスを許可したいと思います。 posixGroupsに従ってアクセスを許可するには、/ etc /nsswitch.conf構成とgetentグループ解決で十分だと思いました。
uid=tupac,ou=people,dc=maytacapac,dc=inc
は間違っているように見えます。これは、LDAPが提供するほとんどの(これを除くすべての)グループメンバーシップにLDAP DNが含まれておらず、代わりにユーザー名のみが含まれているため、代わりにadminsLinux:*:3000:tupac
が表示されることを期待しています。