Intereting Posts
Изменение прав пользователя из окон в общую папку OpenIndiana Как вернуть активный пользователь / сеанс на рабочем столе Linux? Как мой postfix / spamcop узнает об отказе Gmail 421? Отображение дня недели (понедельник, вторник и т. Д.) В окне «Часы» на верхней панели рабочего стола волнистого рабочего стола. Пересылка USB для контейнеров LXC Невозможно перенаправить выходной поток Пакетное переименование файлов, создание подпапок и перемещение файлов по шаблону Запретить запуск vim в оболочке, если он уже запущен в фоновом режиме Синтаксическая ошибка: неиспользуемая строка при использовании regexp_replace в сценарии bash ^ @ спам в tty (но, похоже, общесистемный) Почему бы не отобразить символы, которые я напечатал в tty? Панель Gnome не содержит значков приложений, меню чата и меню питания что осталось в кеше даже после очистки данных кэша страниц? Как я могу написать свою долю Samba? FreeBSD: нет автоматического переключения между звуком в динамике и встроенным разъемом для наушников

Использование аутентификации openldap только для некоторых пользователей

Я пытаюсь создать пару рабочих станций Linux (RedHat 7), и я пытаюсь выяснить, как настроить аутентификацию на сервере LDAP с некоторыми необычными требованиями.

Я в основном знаю, как настроить LDAP-аутентификацию с помощью sssd, но я не знаю, как ограничить аутентификацию только определенными пользователями для удовлетворения моих требований.

Чтобы включить настройку LDAP, я бы воспользовался этой командной строкой:

authconfig --enableldap --enableldapauth --ldapserver="<redacted>" --ldapbasedn="<redacted>" --update --enablemkhomedir 

Это позволит всем пользователям LDAP войти в систему, и насколько мне известно, все работает нормально. Однако мое требование состоит в том, что только некоторые пользователи из LDAP могут войти в систему, а список пользователей будет предоставлен в отдельном текстовом файле (по имени пользователя).

Дополнительная информация: У нас есть LDAP-сервер (на самом деле Active Directory) с несколькими тысячами пользователей. Только около 20 из них, которым необходимо работать на этих рабочих станциях, должны иметь доступ к этой рабочей станции. К сожалению, LDAP не содержит никакой информации, связанной с этим, и я не контролирую сервер LDAP. Вместо этого каждые две недели я получаю текстовый файл со списком имен пользователей, которым разрешено входить в систему.

Как настроить аутентификацию для использования LDAP для имени пользователя / пароля / идентификатора пользователя и т. Д., А также ограничивать его только для пользователей в этом списке?

Поместите этих пользователей в группу, затем используйте правило pam_access в /etc/security/access.conf чтобы разрешать только логины, если пользователь находится в этой группе (а также для root , любых системных администраторов и мониторинга, если необходимо), например

 + : root wheel nagios : ALL + : yourusergrouphere : ALL - : ALL : ALL 

Я нашел два способа добиться того, что мне нужно. Первым был тот, очерченный трофеем. Я должен был добавить каждое имя пользователя отдельно в /etc/security/access.conf.

Второй вариант – указать строку запроса LDAP в sssd.conf:

ldap_access_filter = (| (userid = user1) (userid = user2) …..)

Второе решение очень утомительно для построения, но в итоге оно имеет большие преимущества в производительности в больших средах LDAP, поскольку sssd будет извлекать только несколько записей LDAP.