目的:配置linux主机使用ldap用户后,如果ldap中添加一个用户就相当于所有linux主机添加了这个用户,这个用户可以ssh到所有的linux主机进行访问操作。这样的话权限就太大了,我们要实现的是只允许一个用户访问部分linux主机。
每个主机nslcd.conf 配置过滤homePhone属性为自己的主机名,ldap中可以在用户后面追加homePhone属性,要访问多少台主机,就添加多少个。跟cent6的host属性做过滤就一致了。
目标主机
vi /etc/nslcd.conf
添加:
filter passwd (homePhone=host-10-1-236-84)
重启nslcd服务:
/bin/systemctl restart nslcd.service
注:homePhone为本机主机名
用户添加homePhone属性:
vi add_homePhone.ldif
dn: uid=cent4,ou=people,dc=yinkp,dc=com
changetype: modify
add: homePhone
homePhone: host-10-1-236-84
ldapmodify -x -D cn=root,dc=yinkp,dc=com -w 123456 -f add_homePhone.ldif
配置完成后,只有ldap用户后面有homePhone属性为host-10-1-236-84才能访问host-10-1-236-84主机。
网友评论