sssd と LDAP をセットアップしました。ユーザーは認証してログインします。問題は、sssd が ldap_access_filter オプションを無視し、すべてのユーザーのログインを許可しているように見えることです。ログ/デバッグを調べたところ、pam_sss はフィルターに関係なく、毎回ユーザーを認証しています (いくつかの異なるフィルターを試しましたが、すべて同じ結果でした)。
これはシステムを構成するために使用されるコマンドです:
authconfig
--updateall --passalgo=md5 --enableldap --enableldapauth \
--ldapserver=ldaps://ldap.example.com \
--ldapbase=ou=people,dc=example,dc=com \
--enableldaptls --enableldapstarttls --disablekrb5 \
--ldaploadcacert=http://certserver/cacerts/cacert.pem \
--enablesssd --enablesssdauth --enableshadow \
--enablecachecreds --enablemkhomedir
これは /etc/sssd/sssd.conf です:
[domain/default]
debug_level = 9
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = ou=people,dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_access_filter = memberOf=cn=sysadmins,ou=people,dc=example,dc=com
chpass_provider = ldap
ldap_uri = ldaps://ldap.example.com
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam
config_file_version = 2
domains = default
[nss]
[pam]
[sudo]
[autofs]
[ssh]
[pac]
pam.d/system-auth:
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
例 /var/log/secure:
Dec 30 17:40:36 test login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost= user=testacct
Dec 30 17:40:36 test login: pam_sss(login:auth): authentication success; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost= user=testacct
Dec 30 17:40:36 test login: pam_unix(login:session): session opened for user testacct by LOGIN(uid=0)
Dec 30 17:40:36 test login: LOGIN ON tty1 BY testacct
答え1
動作しない理由は、実際のフィルターを指定していないためです。LDAP と SSSD によると、「フィルター」が何であるかを理解する必要があります。以下は、フィルターを含む私自身の sssd.conf です。
私の LDAP アクセス フィルターは、ログインするユーザーが host=servername または host=ALL を持っている場合、そのマシンにアクセスできることを示しています。
[ドメイン/デフォルト] ldap_id_use_start_tls = 真 キャッシュ資格情報 = False ldap_search_base = dc=example、dc=net?sub?|(ホスト=palaceredirect.example.net)(ホスト=ALL) ldap_group_search_base = ou=グループ、dc=例、dc=ネット id_provider = ldap 認証プロバイダ = ldap chpass_provider = ldap sudo_provider = ldap ldap_uri = ldap://library.example.net ldap_tls_cacertdir = /etc/openldap/cacerts アクセスプロバイダー = ldap ldap_access_filter = (|(ホスト=palaceredirect.example.net)(ホスト=ALL)) ldap_schema = rfc2307bis 列挙 = True autofs_provider = ldap [sssd] config_file_version = 2 サービス = nss、pam、sudo、autofs ドメイン = デフォルト [nss] [パム] [須藤] [オートFS]
私の検索ベースは無視して構いません。その目的は、getent passwd に対して「enumerate = True」が効果的に機能するようにすることでした。
答え2
私は常に /etc/security/access.conf を使用してサーバーのログオン アクセスを制御してきましたが、ドキュメント (および Sokel の実際の例) によると、sssd.conf の "access_provider=ldap" 行が欠落している可能性があります。
答え3
CentOSベースのディストリビューションではうまくいったので、以下を試してみてください。
access_provider = ldap
ldap_access_order = filter
ldap_group_member = member
ldap_access_filter = (memberOf=cn=vpn-clients,ou=Groups,dc=example,dc=com)