我有一个Apache服务器(RHEL 6),该服务器托管多个用户网页,当前已连接到我的Active Directory环境以对用户进行身份验证。该服务器用于自动托管用户放在/ home / <user> / public_html文件夹中的内容。我还将该服务器配置为使用chroot,因此用户将无法浏览其主文件夹之外的服务器上的任何其他内容。登录脚本不会为用户创建主文件夹。这些是手动创建的,因为我们只希望某些用户能够从该服务器托管网页。
问题是,任何用户当前都可以登录服务器,并且无需进入/ home文件夹(因为该文件夹不存在),而是自动进入/。这样,他们就可以查看其组具有读取权限的服务器上的任何文件/文件夹。这是出于安全考虑,我想将登录名限制为具有/ home目录的用户。我们不想指定经过身份验证的AD组或用户列表,因为该列表可能会很长且难以管理,尽管它可能比编写PAM模块容易。
有没有一种方法可以将LDAP登录限制为仅具有/ home目录的用户?我在PAM选项或文档中找不到任何内容。
由于访问管理需要在本地主机上进行很多变通,因此我们决定仅在Active Directory中创建一个组,并将登录名限制为该组中的用户。
这可以通过使用以下字段编辑/etc/security/pam_winbind.conf文件来完成,该文件包含我们要限制访问的组或用户的SID(用逗号分隔)。
require_membership_of=
然后,我们将chroot限制过滤到该组(或将用户放入本地组),以限制其对自己的主目录的sftp访问。这也将允许我们将奇数作业mkhomedir添加回pam,然后允许访问服务器,我们只需要将用户添加到该组即可。然后,他们可以登录,并将自动创建其主目录。
谢谢大家的帮助/想法,但毕竟AD组似乎是最容易管理的组。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句