https://opennet.me/openforum/vsluhforumID1/93769.html Есть четыре Linux серверов (A,B,C,D) в которых аутентификация/авторизация проходит через учетные данные хранящиеся в Active Directory(AD) - (настраивал вот от сюда http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section6.html).<br>Не могу настроить доступ к Linux серверам! То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить...<br>В AD, в учетной записи пользователя user1 задаю что ему разрешино ходить ТОЛЬКО на сервера А и С, но правило не срабатывает, пользователь по прежнему имеет доступ ко всем (A,B,C,D) серверам...<br><br>Как быть и что делать?<br><br>Сам вот что думаю: <br>Для разрешиния доступа к хосту в LDAP используется атрибут host (класса account), а в AD этот атрибут зовется userWorkstations - сопоставления POSIX и AD атрибутов делается в /etc/ldap.conf (centos 5.2) но среди прочих сопоставлений (например: nss_map_attribute homeDirectory unixHomeDirectory) нет нужного мне..((... возможно и заблуждаюсь и это решается другими способами.<br> https://opennet.me/openforum/vsluhforumID1/93769.html#4 Wed, 27 Mar 2013 06:49:29 GMT Добрый день.<br>Подскажите, была ли решена проблема? Если да, то каким образом?<br>Столкнулся с подобной. Но авторизация на linux-серверах выполняется без winbind, а с использованием nslcd. Пользователи логинятся по ssh прекрасно, автоматически создаются домашние каталоги. Видны группы пользователей, что позволяет назначать sudo.<br>Но вот совершенно не получается ограничить доступ пользователей к хостам. Любой пользователь имеющий Unix-атрибуты в AD имеет возможность зайти на любой сервер.<br><br> https://opennet.me/openforum/vsluhforumID1/93769.html#3 Thu, 06 Sep 2012 11:53:04 GMT &gt;[оверквотинг удален]<br>&gt; Вот что имел ввиду: <br>&gt; Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные <br>&gt; из AD.<br>&gt; Вот что делал чтобы ограничить доступ: <br>&gt; В оснастке &#171;Active Directory &#8211; пользователи и компьютеры&#187; --&gt; захожу в <br>&gt; свойства учетной записи пользователя, далее --&gt; Вкладка &#171;Учетная запись&#187;, далее <br>&gt; --&gt; жму кнопку &#171;Вход на...&#187; и указываю сервера (А,С), на <br>&gt; которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations) <br>&gt; ---&gt; и не срабатывает(!), пользователь все равно может подключаться ко всем <br>&gt; серверам - A,B,C,D.<br><br>думаю что надо смотреть в сторону pam_ldap и group filter<br><br> https://opennet.me/openforum/vsluhforumID1/93769.html#2 Thu, 06 Sep 2012 11:10:41 GMT &gt; Что имеется ввиду под словами ходить на сервера?<br><br>Вот что имел ввиду:<br>Подключаться удаленно по SSH или X-протоколу к Linux-серверам используя учетные данные из AD.<br><br>Вот что делал чтобы ограничить доступ:<br>В оснастке &#171;Active Directory &#8211; пользователи и компьютеры&#187; --&gt; захожу в свойства учетной записи пользователя, далее --&gt; Вкладка &#171;Учетная запись&#187;, далее --&gt; жму кнопку &#171;Вход на...&#187; и указываю сервера (А,С), на которые пользователь может выполнять вход (т.е. меняю значение атрибута userWorkstations) ---&gt; и не срабатывает(!), пользователь все равно может подключаться ко всем серверам - A,B,C,D. <br> https://opennet.me/openforum/vsluhforumID1/93769.html#1 Thu, 06 Sep 2012 08:20:38 GMT &gt; То есть нужно сделать следующее: пользователю user1 разрешить доступ к Linux серверам А и С, а к серврам B и D запретить...<br><br>Что имеется ввиду под словами ходить на сервера?<br>