グループメンバーシップによるLDAP認証

Question

複数のLinuxホストを管理する必要があり、OpenLDAPで集中認証メカニズムを設定しようとしています。 ようにLDAPサーバー上：1つのLinuxクライアント上で

ou=Group,dc=example,dc=com 
\_cn=test_group (groupOfNames),ou=Group,dc=example,dc=com 
    \_ member: uid=test_user,ou=User,dc=example,dc=com 
ou=User,dc=example,dc=com 
\_uid=test_user (posixAccount),ou=User,dc=example,dc=com 
\_uid=another_user (posixAccount),ou=User,dc=example,dc=com 

、私はそうある/etc/ldap.confで、唯一test_groupグループのメンバーのアクセスを許可する：

base dc=example,dc=com 
uri ldap://ldap_server_ip 
ldap_version 3 
rootbinddn cn=admin,dc=example,dc=com 
pam_filter objectclass=posixAccount 
pam_login_attribute uid 
pam_groupdn cn=test_group,ou=Group,dc=example,dc=com 
pam_member_attribute member 

しかしanother_userユーザーもログインできます！私は何を間違えたのですか？ありがとう、

Answer 1

[OK]、問題は/etc/pam.dディレクトリ内の自動構成から発生します。たとえばと共通のアカウントのファイル：

account [success=2 new_authtok_reqd=done default=ignore]  pam_unix.so 
account [success=1 default=ignore]  pam_ldap.so 

に変更する必要があります

account sufficient pam_ldap.so 
account required pam_unix.so 

すべてのそれは今OKです。