SUSE LINUX Enterprise & openSUSE Community
มกราคม 18, 2019, 04:50:23 AM *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  

[Why we need your support] SUSE and openSUSE are trademarks of Attachmate Group, Inc. - WE ARE NOT IN ANY WAY ASSOCIATED WITH SUSE AND ATTACHMATE GROUP. SUSEThailand.com is a SUSE Linux user and community found in Thailand but not limited to other country suse linux user to join in. Currently active contents (How to's, Scripts, Tips, Tricks, Tutorials, Linux Command Line, and Troubleshooting) this suse linux how to's and expert support are SUSE Linux.
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน
หัวข้อ: การจำกัดจำนวนผู้ใช้ LDAP ที่สามารถเข้าถึงเครื่องผ่าน SSH  (อ่าน 1000 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« เมื่อ: กุมภาพันธ์ 12, 2013, 06:24:24 PM »


How do I limit access to a machine through SSH with LDAP / Active Directory security groups

ช่วยป้องกันไม่ให้ผู้ใช้ LDAP เข้าถึงเครื่องผ่าน SSH จะคนละอย่างกับการใช้ iptables จำกัดไอพีแอดเดรสนะครับ

1. สร้างกลุ่มจำกัดผู้ใช้  (Group membership)

โค๊ด:
yast groups

เลือก Set Filter เป็น "System Groups" จากนั้นสร้างกลุ่มใหม่เชื่อ เช่น grp_sysadmin แล้วทำการเพิ่มยูสเซอร์จาก LDAP ที่สามารถเข้าถึงเครื่องผ่าน SSH ได้ไปยังกลุ่ม grp_sysadmin
เช่น ยูสเซอร์ user2

Note: เพื่อป้องกันการเข้าสู่ระบบ อาจจำเป็นต้องเพิ่มยูสเซอร์ที่เป็น local users เข้าไปยังกลุ่ม grp_sysadmin ด้วย เช่น ยูสเซอร์ localuser


2. แก้ไขคอนฟิก (PAM configuration for sshd)

โค๊ด:
/etc/pam.d/sshd

ค้นหาบรรทัด "account include common-account" และ disable โดยใส่เครื่องหมาย #
ใต้บรรดทัดที่เรา comment ให้เพิ่มบรรดทัด

รูปแบบ
account sufficient pam_succeed_if.so user ingroup [domain\group]

account sufficient pam_succeed_if.so user ingroup grp_sysadmin

โค๊ด:
#%PAM-1.0
auth     requisite      pam_nologin.so
auth     include        common-auth
#account  include        common-account
account  sufficient     pam_succeed_if.so user ingroup grp_sysadmin
password include        common-password
session  required       pam_loginuid.so
session  include        common-session

อธิบายก็คืออนุญาตเฉพาะยูสเซอร์ที่อยู่ใน group "grp_sysadmin" สามารถเข้าถึงเครื่องผ่าน SSH


3. ตรวจสอบ log message

โค๊ด:
tail -f /var/log/message

- log message เมื่อยูสเซอร์ที่ไม่อยู่ใน group ล็อกอินด้วย SSH เข้าระบบ
โค๊ด:
sshd[15173]: pam_succeed_if(sshd:account): requirement "user ingroup grp_sysadmin" not met by user "user1"

- log message เมื่อยูสเซอร์ที่อยู่ใน group ล็อกอินด้วย SSH เข้าระบบ   
โค๊ด:
sshd[15222]: pam_succeed_if(sshd:account): requirement "user ingroup grp_sysadmin" was met by user "user2"

Reference: http://www.novell.com/support/search.do?usemicrosite=true&searchString=7011689
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

(@)2007 SUSE Linux user community found in Thailand. This site is not an official openSUSE and SUSE website, and is not in any way affiliated with or endorsed by SUSE Linux GmbH or Novell. openSUSE and SUSE are trademarks of Novell, Inc. in the United States and other countries.
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.038 วินาที กับ 19 คำสั่ง (Pretty URLs adds 0.011s, 2q)