AWS Linux インスタンス上で、公開キーを使用して SSH/LDAP を正常に動作させています。nss-pam-ldapd と pam_ldap を使用しています。ただし、LDAP グループへのログインを制限するために、/etc/pam_ldap.conf を次のように設定すると、
pam_groupdn cn=Administrators,ou=groups,dc=domain,dc=com
pam_member_attribute memberUid
この場合、LDAP ユーザーはログインできなくなります。ローカル アカウントは問題なくログインでき、pam_groupdn 行がコメント アウトされている場合は LDAP アカウントもログインできます。
ログに記録される唯一の項目は sshd からのものです: PAM アカウント構成によってアクセスが拒否されました。
以下は/etc/pam.d/system-authからの関連行です。
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
ここで何が起こっているのか、誰か知っている人はいますか?