centos6 限制ldap用户登陆主机

目的：配置linux主机使用ldap用户后，如果ldap中添加一个用户就相当于所有linux主机添加了这个用户，这个用户可以ssh到所有的linux主机进行访问操作。这样的话权限就太大了，我们要实现的是只允许一个用户访问部分linux主机。

1.修改/etc/pam_ldap.conf

添加如下属性值：

pam_check_host_attr yes

2.修改用户，添加host属性值

编辑更改文件：

vi change.lidf

dn: uid=test,ou=People,dc=yinkp,dc=com

changetype: modify

add: host

host: host52

使用ldap命令进行修改：

ldapmodify -x -D cn=root,dc=yinkp,dc=com -w 123456 -f change.lidf

检查属性值是否加上：

ldapsearch -x -b 'uid=test,ou=people,dc=yinkp,dc=com' |grep test

检查在host52主机上能否使用该用户

可以使用ssh登陆验证。

ssh test@host52

在其它主机上能否使用该用户:

ssh test@hostx

预期结果：如果主机列表不包含用户想要访问的系统的主机名，则拒绝访问。如果主机列表为空（即，不存在主机属性），则默认情况下拒绝用户访问。

注：该种方法只能根据机器的域名来限制用户登陆。