現在、ユーザー認証のためにActive Directory環境に接続されている複数のユーザーWebページをホストするApacheサーバー(RHEL 6)があります。サーバーは、ユーザーが /home/<user>/public_html フォルダーに置くコンテンツを自動的にホストするために使用されます。また、ユーザーがサーバーのホームフォルダ以外の項目を参照できないようにchrootを使用するようにこのサーバーを構成しました。ログインスクリプトはユーザーのホームフォルダを作成しません。特定のユーザーだけがこのサーバーでWebページをホストできるようにしたいので、これは手動で作成されます。
問題は、現在サーバーにログインできるすべてのユーザーが/homeフォルダ(存在しないため)に移動せずに自動的に/に移動することです。これにより、そのグループが読み取りアクセス権を持っているサーバー上のすべてのファイル/フォルダを表示できます。これはセキュリティの問題です。ログインを/homeディレクトリを所有しているユーザーに制限したいと思います。 PAMモジュールを作成するよりも簡単かもしれませんが、リストが非常に長くなり、管理が難しくなる可能性があるため、ADグループまたはユーザーリストを認証済みとして指定したくありません。
/homeディレクトリをすでに所有しているユーザーにのみLDAPログインを制限する方法はありますか?PAMオプションやドキュメントで何も見つかりませんでした。
ベストアンサー1
アクセス管理にはローカルホストで多くの操作が必要なので、Active Directoryにグループを作成し、そのグループのユーザーにログインを制限することにしました。
次のフィールドとアクセスを制限したいグループまたはユーザーのカンマ区切り(SID)を使用して/etc/security/pam_winbind.confファイルを編集します。
require_membership_of=
次に、このグループのchroot制限をフィルタリング(またはユーザーをローカルグループに配置)して、自分のホームディレクトリへのSFTPアクセスを制限します。これにより、pamに奇妙なアクションmkhomedirを追加でき、サーバーへのアクセスを許可するためにユーザーをそのグループに追加するだけです。その後、ログインするとホームディレクトリが自動的に作成されます。
皆様のご協力・アイデアありがとうございます。しかし、結局のところ、ADグループが管理するのが最も簡単なようです。