From NJH-Wiki

Autor 

Frank Prößdorf

Vorgehensweise

pam_access sollte mit dem Standard PAM Paket gleich mit installiert worden sein. Es kann genutzt werden um den Zugriff auf die Services wie login, xdm, sshd auf bestimmte Benutzer, Gruppen oder Hosts zu beschränken. Zu pam_access gehören vor allem zwei Dateien:

• /lib/security/pam_access.so - Die pam_access Bibliothek
• /etc/security/access.conf - Die pam_access Konfigurationsdatei

Wollen wir diese Bibliothek nun benutzen so fügen wir die Bilbiothek zunächst in eine von uns gewünschte PAM Konfigurationsdatei hinzu. Zum Beispiel die /etc/pam.d/sshd:

..
auth     required       pam_env.so
account  required       pam_access.so
account  sufficient     pam_ldap.so
account  required       pam_unix2.so            use_first_pass
..

Danach konfigurieren wir den Zugriff noch. Das sind im Prinzip ein paar wenige Aufrufe in der /etc/security/access.conf. Diese haben alle das Format [+|-]:[benutzer|gruppen|all]:[hosts]. Beispiele hierfür sind folgende:

+:Testgruppe:ALL                # Erlaube der Gruppe Testgruppe von allen Hosts zuzugreifen
-:ALL EXCEPT proessdo:ALL       # Erlaube niemandem zuzugreifen ausser dem Benutzer proessdo

Die Beiträge werden dabei von oben nach unten abgearbeitet, und wenn ein Match gefunden wurde, wird der Rest ignoriert.

Hierbei tritt der gleiche Sachverhalt wie beim Apache mod_auth_ldap auf, nämlich das Benutzer die zu einer eDirectory Gruppe gehören sich wenn man diese Gruppe als Auswahlkriterium angibt authentifizieren können (unabhängig von der posixGroup Einstellung).

Das heisst Gruppenzugehörigkeit erfolgt nicht über die UID sondern über das eDirectory Objekt.

Siehe auch

Quellen und weitere Informationen:

• informit PAM Artikel