kerberos + ldap: создание доступа пользователей только для выбранных хостов

Question

Я пытаюсь понять kerberos & LDAP. Работающий openldap (информация о пользователе) & kerberos (проверка подлинности) уже установлены.

Я перенесла пользователя unix (user01) в openldap, используя «migrationtools». Ниже пользователей и принимающих принципы также созданы с использованием kadmin ..

  addprinc user01 
      addprinc -randkey host/host01.example.com 
      addprinc -randkey host/host02.example.com 

Скажем, у меня есть 3 хозяев:

  host01.example.com 
      host02.example.com 
      host03.example.com  

Теперь мой вопрос: как я могу убедиться, что «user01» может получить доступ только к host01 & host02, а не host03?

Спасибо, Обэйд

Answer 1

Похоже, мы можем сделать некоторые обходной путь, используя SSSD.

Мы можем сделать это, отредактировав «/etc/sssd/sssd.conf» и используя параметр «access_provider».

Учитывая мое окружение (OpenLDAP + krb5), сначала я попытался с ниже параметрами файл "/etc/sssd/sssd.conf":

[domain/default] 
access_provider = ldap 
ldap_access_filter = memberOf=cn=demo1,ou=Groups,dc=example,dc=com 

Но, как только я поставил этот параметр «access_provider = ldap "все пользователи LDAP не смогли войти в систему.

Затем я попытался простой метод доступа, как показано ниже параметров в файле «/etc/sssd/sssd.conf»:

access_provider = simple 
simple_allow_groups = demo1,demo2 

Простой провайдер доступа работал для меня.

В приведенном выше примере demo1 & demo2 - это группы, определенные только на openldap, и работает «access_provider = simple». Таким образом, это потенциальный кандидат в качестве моего решения. И я использую «id_provider = ldap».

Я хотел бы услышать другие мысли/решения об этом, чтобы мы могли найти хорошее решение не только для меня, но и для других, имеющих похожий сценарий.

Спасибо, Обэйд