Использование аутентификации openldap только для некоторых пользователей

Я пытаюсь создать пару рабочих станций Linux (RedHat 7), и я пытаюсь выяснить, как настроить аутентификацию на сервере LDAP с некоторыми необычными требованиями.

Я в основном знаю, как настроить LDAP-аутентификацию с помощью sssd, но я не знаю, как ограничить аутентификацию только определенными пользователями для удовлетворения моих требований.

Чтобы включить настройку LDAP, я бы воспользовался этой командной строкой:

authconfig --enableldap --enableldapauth --ldapserver="<redacted>" --ldapbasedn="<redacted>" --update --enablemkhomedir 

Это позволит всем пользователям LDAP войти в систему, и насколько мне известно, все работает нормально. Однако мое требование состоит в том, что только некоторые пользователи из LDAP могут войти в систему, а список пользователей будет предоставлен в отдельном текстовом файле (по имени пользователя).

Дополнительная информация: У нас есть LDAP-сервер (на самом деле Active Directory) с несколькими тысячами пользователей. Только около 20 из них, которым необходимо работать на этих рабочих станциях, должны иметь доступ к этой рабочей станции. К сожалению, LDAP не содержит никакой информации, связанной с этим, и я не контролирую сервер LDAP. Вместо этого каждые две недели я получаю текстовый файл со списком имен пользователей, которым разрешено входить в систему.

Как настроить аутентификацию для использования LDAP для имени пользователя / пароля / идентификатора пользователя и т. Д., А также ограничивать его только для пользователей в этом списке?

2 Solutions collect form web for “Использование аутентификации openldap только для некоторых пользователей”

Поместите этих пользователей в группу, затем используйте правило pam_access в /etc/security/access.conf чтобы разрешать только логины, если пользователь находится в этой группе (а также для root , любых системных администраторов и мониторинга, если необходимо), например

 + : root wheel nagios : ALL + : yourusergrouphere : ALL - : ALL : ALL 

Я нашел два способа добиться того, что мне нужно. Первым был тот, очерченный трофеем. Я должен был добавить каждое имя пользователя отдельно в /etc/security/access.conf.

Второй вариант – указать строку запроса LDAP в sssd.conf:

ldap_access_filter = (| (userid = user1) (userid = user2) …..)

Второе решение очень утомительно для построения, но в итоге оно имеет большие преимущества в производительности в больших средах LDAP, поскольку sssd будет извлекать только несколько записей LDAP.

  • Присоединяйтесь к Redhat 7 без запроса пароля
  • Отправка sssd.log в syslog
  • oddjob_mkhomedir не запускается при входе через SSH с Kerberos
  • Настройка оболочки входа в конфигурацию SSS для пользователей из Active Directory
  • sudo и sssd не работают с группами пользователей
  • PAM против LDAP против SSSD против Kerberos
  • Конфигурация sssd с Active Directory
  • Сервер SSSD как централизованная аутентификация
  • LDAP Sudoers с AD & SSSD (возвращает только основную группу)
  • Использовать аутентификацию для использования sssd not nslcd
  • Как указать владельца группы во время Cron
  • Linux и Unix - лучшая ОС в мире.