Linux
登錄僅限於使用 SSD 和 Kerberos 的 LDAP 組
我正在嘗試了解 PAM、SSSD 和 nsswitch 的工作原理。我認為這些服務非常有用,儘管那裡的所有文件都有點過時和“深奧”。
所以我在這裡尋求幫助。
這就是我配置 sssd.conf 的方式:
[sssd] config_file_version = 2 services = pam,nss domains = persefone.com [pam] [nss] [autofs] [domain/persefone.com] id_provider = ldap auth_provider = krb5 ldap_schema = rfc2307bis enumerate = false cache_credentials = false case_sensitive = true ldap_use_tokengroups = false ldap_uri = ldap://192.168.10.10 ldap_search_base = dc=persefone,dc=com ldap_tls_reqcert = allow krb5_server = 192.168.10.10 krb5_realm = PERSEFONE.COM access_provider = ldap ldap_access_filter = (memberOf=cn=Administradores,ou=group,dc=persefone,dc=com) default_shell = /bin/bash
這就是我的 nsswitch.conf 的樣子:
passwd: compat sss group: compat sss hosts: files dns networks: files dns services: files protocols: files rpc: files ethers: files netmasks: files netgroup: files nis publickey: files bootparams: files automount: files nis aliases: files
我讀到 PAM 已被棄用,但我發現的所有資訊都是關於 SSSD 與 PAM 一起工作的資訊。我認為這有很多我不明白的地方。我會繼續努力學習。如果您知道一些很好的資源來了解 PAM、SSSD、NSSWITCH 和這些服務以及一些練習,歡迎提出建議。手冊頁已經閱讀過(並且不太了解……)
謝謝你。問候。
您可以使用此配置項:
[domain/skmf.com] simple_allow_groups = Administradores, linux_admins
您可以使用sssd-simple(5)中包含此 simple_allow_groups 的值。這就是我的環境如何限制對組的訪問。
您需要確保在 sshd_config 中也允許該組。此列表以空格分隔,因此對於名稱中包含空格的組,您可能需要嘗試避免使用它們,或者使用反斜杠轉義組名稱中的空格。
AllowGroups Administradores linux_admins