ограничьте ssh доступ для хостинга использования sssd и LDAP

Без id_provider sssd не может выполнить ни один из nsswitch ролей. Все разрешения пользователей и групп sss завершатся ошибкой. Вы можете увидеть это с помощью getent passwd bobdog .

Я заметил, что у вас есть два разных ldap_access_filter . Хотя первое кажется плохим, но последнее значение побеждает, так что это скорее проблема опрятности.

ldap_access_filter = (&(object)(object))
ldap_access_filter = (|(memberOf=cn=datateam,ou=group,dc=edurp,dc=com)(memberOf=cn=ctmtest,ou=group,dc=edurp,dc=com)(memberOf=cn=syseng,ou=group,dc=edurp,dc=com))

Кроме того, я не Не знаю, поддерживает ли dsee7 memberof , хотя я подозреваю, что это так. Стоит дважды проверить. memberof обычно является операционным атрибутом, поэтому вы должны запрашивать его явно. ldapsearch -H ldaps: //ldap0.la01.edurp.com/ -b dc = edurp, dc = com uid = bobdog memberof .

Обычно лучше использовать SRV RR ], чем явные хосты. Вы уже полагаетесь на DNS для разрешения имен.

Если у вас есть Kerberos KDC, вы можете использовать krb5 в качестве своего auth_provider и использовать sshd AllowGroups вместо ограничения доступа. GSSAPI иногда бывает удобен.

AllowGroups
За этим ключевым словом может следовать список шаблонов имен групп, разделенных пробелами. Если указано, вход в систему разрешен только для пользователей, основная группа или список дополнительных групп которых соответствует одному из шаблонов. Действительны только имена групп; числовой идентификатор группы не распознается. По умолчанию вход разрешен для всех групп. Директивы allow / deny обрабатываются в следующем порядке: DenyUsers , AllowUsers , DenyGroups и, наконец, AllowGroups .
См. ШАБЛОНЫ в ssh_config (5) для получения дополнительной информации о шаблонах.