<br><br><div class="gmail_quote">On Mon, Jun 29, 2009 at 11:29 AM, Giovanni Torres <span dir="ltr"><<a href="mailto:torresgi@ninds.nih.gov">torresgi@ninds.nih.gov</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I have implemented LDAP on CentOS successfully using Redhat's Directory<br>
Server and the great how-to on the CentOS wiki.<br>
<br>
Being new to LDAP, I have a question and maybe one of you guys can point<br>
me in the right direction:  I have LDAP implemented on the network for<br>
logins to the workstation pcs.  I also have an apache website that I now<br>
use LDAP for authentication.  What I want, however, is to be able to<br>
allow a group of users to authenticate to the apache website, but not be<br>
able to login to any of the systems directly nor via ssh.<br>
<br>
Any suggestions or pointers in the right direction on where to read up<br>
on how to accomplish this specific task would be much appreciated.<br>
</blockquote><div><br>I made some notes here:<br><a href="https://sites.google.com/site/disciplinux/linux/centralized-authentication">https://sites.google.com/site/disciplinux/linux/centralized-authentication</a><br><br>
</div></div>In short, you add a couple entries to the schema that gives host-based access control.<br><br>Create Host Based access<br><span>    </span>Add the 61ldapns.ldif file to /etc/dirsrv/instancename/schema<br><span><br>
Grab the above ldif from the link.  Then, on the apache servers:<br><br>    </span>edit /etc/ldap.conf and enable pam_check_host_attr<br><br>Then in the dirsrv manager:<br><span>    </span>From the Account Listing<br><span>    </span>Select Field in ObjectClass<br>
<span>    </span>Add Value<br><span>    </span>Select HostObject<br><span>    </span>Select Add Attribute<br><span>    </span>Select Host<br><span>    </span>Enter first host <br><span>    </span>Select Host<br><span>    </span>Enter Add Value<br>
<span>    </span>Enter second host<br><span>    </span>Continue for all hosts<br><br>I haven't had a chance to detail the notes, but those two entries for hosts and service control allow me to specify what services a user can use and on which servers. So I could, for example, allow a user to use only ssh or only ftp on a particular host.<br>