Ситуация: есть N серверов под управлением Debian и M пользователей на этих серверах.

Задача:
1) запихнуть пользователей в OpenLDAP и настроить авторизацию через него
2) разграничить доступ пользователей к серверам. Т. е. user1 может логиниться на все N серверов, а user2 только на server1.

Если с первой частью задачи все ясно, то со второй у меня возникают затруднения.

Итак, господа, есть соображения по п. 2?

• Авторизация в системе через OpenLDAP,pavel_simple, 12:53 , 01-Ноя-09
  • Авторизация в системе через OpenLDAP,svol, 13:05 , 01-Ноя-09
    • Авторизация в системе через OpenLDAP,prapor, 12:15 , 02-Ноя-09

>Итак, господа, есть соображения по п. 2?

икштештвинно

сделайте столько групп, сколько адинистративных групп серверов, ну и соответственно в фильтрах указывайте привязку к группе

>
>>Итак, господа, есть соображения по п. 2?
>
>икштештвинно
>
>сделайте столько групп, сколько адинистративных групп серверов, ну и соответственно в фильтрах
>указывайте привязку к группе

Ах чёрт, действительно же! Спасибо, в понедельник буду воплощать в жизнь.

>>
>>>Итак, господа, есть соображения по п. 2?
>>
>>икштештвинно
>>
>>сделайте столько групп, сколько адинистративных групп серверов, ну и соответственно в фильтрах
>>указывайте привязку к группе
>
>Ах чёрт, действительно же! Спасибо, в понедельник буду воплощать в жизнь.

Есть очень удобная штука для управления LDAP, называется GOsa. В ней очень удобно делать разграничение по доступам на хосты. Вот пример из /etc/ldap.conf для RHEL: pam_filter |(trustModel=fullaccess)(&(trustModel=byhost)(accessTo=VL606))
В результате пользователь получает доступ только на хосты, на которые ему разрешено ходить.