我正在尝试了解kerberos& LDAP。 工作openldap(用户信息)& kerberos(身份验证)已经安装。
我已使用“migrationtools”将unix用户(user01)迁移到openldap。 用户和主机原则也是使用kadmin创建的..
addprinc user01
addprinc -randkey host/host01.example.com
addprinc -randkey host/host02.example.com
让我们说,我有3个主持人:
host01.example.com
host02.example.com
host03.example.com
现在,我的问题是:如何确保“user01”只能访问host01& host02,NOT host03?
谢谢, 奥贝德
答案 0 :(得分:0)
似乎我们可以使用sssd做一些解决方法。
我们可以通过编辑" /etc/sssd/sssd.conf"并使用" access_provider"参数。
考虑到我的环境(openldap + krb5),首先我尝试使用以下参数文件" /etc/sssd/sssd.conf":
[domain/default]
access_provider = ldap
ldap_access_filter = memberOf=cn=demo1,ou=Groups,dc=example,dc=com
但是,只要我把这个参数" access_provider = ldap"所有LDAP用户都无法登录。
然后我在文件" /etc/sssd/sssd.conf"中尝试了简单的访问方法,如下面的参数:
access_provider = simple
simple_allow_groups = demo1,demo2
简单访问提供商为我工作。
在上面的例子中演示1& demo2是仅在openldap上定义的组," access_provider = simple"工作中。因此,它是我的解决方案的潜在候选人。我正在使用" id_provider = ldap"。
我想听听关于此问题的其他想法/解决方案,以便我们不仅可以为我找到一个好的解决方案,而且可以为其他有类似情况的人找到一个好的解决方案。
谢谢, 奥贝德