Linux

登錄僅限於使用 SSD 和 Kerberos 的 LDAP 組

  • December 4, 2019

我正在嘗試了解 PAM、SSSD 和 nsswitch 的工作原理。我認為這些服務非常有用,儘管那裡的所有文件都有點過時和“深奧”。

所以我在這裡尋求幫助。

這就是我配置 sssd.conf 的方式:

[sssd]
config_file_version = 2
services = pam,nss
domains = persefone.com

[pam]

[nss]

[autofs]

[domain/persefone.com]
id_provider = ldap
auth_provider = krb5
ldap_schema = rfc2307bis
enumerate = false
cache_credentials = false
case_sensitive = true
ldap_use_tokengroups = false
ldap_uri = ldap://192.168.10.10
ldap_search_base = dc=persefone,dc=com
ldap_tls_reqcert = allow
krb5_server = 192.168.10.10
krb5_realm = PERSEFONE.COM
access_provider = ldap
ldap_access_filter = (memberOf=cn=Administradores,ou=group,dc=persefone,dc=com)
default_shell = /bin/bash

這就是我的 nsswitch.conf 的樣子:

passwd: compat sss
group:  compat sss

hosts:  files dns
networks:       files dns

services:       files
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files nis
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files

我讀到 PAM 已被棄用,但我發現的所有資訊都是關於 SSSD 與 PAM 一起工作的資訊。我認為這有很多我不明白的地方。我會繼續努力學習。如果您知道一些很好的資源來了解 PAM、SSSD、NSSWITCH 和這些服務以及一些練習,歡迎提出建議。手冊頁已經閱讀過(並且不太了解……)

謝謝你。問候。

您可以使用此配置項:

[domain/skmf.com]
simple_allow_groups = Administradores, linux_admins

您可以使用sssd-simple(5)中包含此 simple_allow_groups 的值。這就是我的環境如何限制對組的訪問。

您需要確保在 sshd_config 中也允許該組。此列表以空格分隔,因此對於名稱中包含空格的組,您可能需要嘗試避免使用它們,或者使用反斜杠轉義組名稱中的空格。

AllowGroups Administradores linux_admins

引用自:https://serverfault.com/questions/994137