Вопросы Теги

Linux / AD интеграция с SSSD: как выбрать, в какие системы пользователь может войти?

Мы испытываем интеграцию ActiveDirectory в некоторых системах Linux с SSSD.

Пока неплохо мы соединили системы Linux с доменом, и мы можем войти в системы Linux с AD созданными пользователями. Прямо сейчас каждый AD пользователь может войти в каждую систему Linux, которая была интегрирована с SSSD.

Как я могу позволить пользователю Foo войти в LinuxServer01, но предотвратить его для вхождения в LinuxServer02? И/или как я могу заблокировать пользователя, чтобы войти в каждый Linux системы и просто позволить ему на некоторых определенных?

3
задан 25 February 2015 в 09:44
3 ответа

Я бы порекомендовал против использовать фильтры управления доступом на основе фильтров для большинства развертываний по двум причинам:

  • их трудно сделать правильно
  • фильтры применяются для входящей в систему пользователя записи. Это может иметь интересные последствия, особенно если фильтр содержит атрибут memberof , в то время как пользователь является членом вложенных групп - поскольку запись пользователя содержит только memberofs для непосредственных родителей, вложенные группы никогда не будут совпадать.

Для очень простых случаев использования, таких как разрешение пользователю или группе пользователей, я бы рекомендовал использовать поставщик простого доступа

Для сложных случаев использования SSSD поддерживает AD Для объектов групповой политики, начиная с серии 1.12.x, поищите подробности на странице sssd-ad .

2
ответ дан 3 December 2019 в 07:00

После выполнения еще нескольких RTFM я нашел подробности в sssd-ad(5) - должно быть, я пропустил их в первый раз:

  • по умолчанию access_provider является allow, так что каждому пользователю, который может аутентифицироваться, дается разрешение на вход в систему. Это объясняется в sssd.conf(5).
  • для управления конкретными разрешениями вы должны установить access_provider = ad
  • , а затем использовать ad_access_filter, как подробно описано в sssd-ad(5), чтобы определить фильтр для пользователей, которые могут войти в систему

(но я до сих пор не знаю, есть ли какой-нибудь способ указать системы по очереди на стороне AD для пользователя, который может разрешить вход в систему)

.
0
ответ дан 3 December 2019 в 07:00

В вашем конфигурационном файле sssd.conf вы можете изменить фильтр доступа в соответствии с вашими потребностями:

В разделе домен/дефолт попробуйте следующее: 

access_provider = ldap
ldap_access_filter = memberOf=cn=GroupName,ou=Groups,dc=domain,dc=com
0
ответ дан 3 December 2019 в 07:00

Теги

Похожие вопросы