Wir verwenden SSSD zur Authentifizierung mit LDAP. Und ich filtere den Benutzerzugriff miteinfache_erlaubte_Gruppenwie folgt:
access_provider = simple
simple_allow_groups = Computer Admins
(Notiz: Computeradministratoren ist eine LDAP-Gruppe)
Ist es möglich, eine Liste derNURerlaubte Benutzer mitgetentoder etwas anderes??
Es gibt eine Optionsaufzählung, aber diese listetalleBenutzer aus LDAP. Mich interessiert nur dieerlaubtBenutzer.
Antwort1
getentfunktioniert nur, wenn Ihre Gruppe eine Unix-Gruppe ist (d. h., sie hat ein gidNumberund ist für den nssTeil von sichtbar sssd). Wenn /etc/nsswtich.confso eingerichtet ist, dass Gruppen über gesucht werden sss, getent group 'Computer Admins'erhalten Sie eine Liste der Mitglieder dieser Gruppe, transitiv abgeschlossen (d. h. einschließlich Mitglieder von Gruppen, die selbst Mitglieder dieser Gruppe sind usw.). Diese Liste sollte nur Benutzer enthalten, die auch Unix-Benutzer sind (die ein uidNumberAttribut haben).
Wenn „Computeradministratoren“ keine Unix-Gruppe ist, müssen Sie mit einem LDAP-Client (wie ldapsearchoder ldapvi) arbeiten, um die Mitglieder abzurufen und die transitive Schließung selbst zu implementieren.