Аутентификация LDAP с членством в группе

Question

Мне нужно управлять несколькими хостами linux, и я пытаюсь установить централизованный механизм аутентификации с OpenLDAP. Так что на сервере LDAP:

ou=Group,dc=example,dc=com 
\_cn=test_group (groupOfNames),ou=Group,dc=example,dc=com 
    \_ member: uid=test_user,ou=User,dc=example,dc=com 
ou=User,dc=example,dc=com 
\_uid=test_user (posixAccount),ou=User,dc=example,dc=com 
\_uid=another_user (posixAccount),ou=User,dc=example,dc=com 

На одном клиенте Linux, я хочу, чтобы разрешить доступ только для членов группы test_group, поэтому в /etc/ldap.conf:

base dc=example,dc=com 
uri ldap://ldap_server_ip 
ldap_version 3 
rootbinddn cn=admin,dc=example,dc=com 
pam_filter objectclass=posixAccount 
pam_login_attribute uid 
pam_groupdn cn=test_group,ou=Group,dc=example,dc=com 
pam_member_attribute member 

Но пользователь another_user может также входить! Что я сделал не так? Спасибо

Answer 1

Хорошо, проблема исходит из автоматической конфигурации в каталоге /etc/pam.d. Например, файл с общим счетом с:

account [success=2 new_authtok_reqd=done default=ignore]  pam_unix.so 
account [success=1 default=ignore]  pam_ldap.so 

необходимости быть изменен на:

account sufficient pam_ldap.so 
account required pam_unix.so 

Все теперь в порядке.