CentOS 컴퓨터가 있고 Windows AD에 성공적으로 연결되었습니다. CentOS 클라이언트의 AD에 있는 기존 사용자를 사용하여 SSH를 통해 연결할 수 있습니다. 이제 특정 AD 그룹(관리자)만 로그인하도록 허용하고 싶지만 작동하지 않습니다. 먼저 로그인을 비활성화합니다.
realm deny -R mydomain.local -a
일하다. 둘째, 특정 그룹, 즉 AD의 그룹을 허용하고 싶습니다.
distinguishedName: CN=Admins,OU=Users-All,OU=Users,DC=mydomain,DC=local
두 가지 방법을 사용했지만 둘 다 작동하지 않는 것 같습니다.
realm permit -g Admins
realm permit -g 'mydomain.local\\Users\Users-All\Admins'
저는 Linux용 AD를 처음 접했기 때문에 제가 뭘 잘못하고 있는지 제안해 주실 수 있나요?
감사해요!
답변1
편집을 통해 이것을 얻었습니다 /etc/security/pam_winbind.conf
require_membership_of = S-1-5-21-361205316-2009527927-3895120483-1111,localgroup1
다음 명령을 사용하여 S-1-... 문자열을 찾을 수 있습니다.wbinfo -G "User all"
답변2
문제가 발견되었습니다. sssl.conf에서 ad_access_filter를 사용하려면 Linux 시스템에 AD의 사용자 개체를 읽을 수 있는 권한이 있어야 합니다. 우리 시스템 관리자와 대화한 후 그는 권한을 부여했고 이제 작동합니다... :)