Ich versuche, einige Linux-Workstations (RedHat 7) einzurichten, und versuche herauszufinden, wie ich die Authentifizierung gegenüber einem LDAP-Server mit einigen ungewöhnlichen Anforderungen einrichte.
Ich weiß grundsätzlich, wie man die LDAP-Authentifizierung mit SSDD einrichtet, aber ich weiß nicht, wie ich die Authentifizierung auf bestimmte Benutzer beschränken kann, um meine Anforderungen zu erfüllen.
Um die LDAP-Konfiguration zu aktivieren, würde ich diese Befehlszeile verwenden:
authconfig --enableldap --enableldapauth --ldapserver="<redacted>" --ldapbasedn="<redacted>" --update --enablemkhomedir
Dadurch können sich alle LDAP-Benutzer anmelden, und soweit ich weiß, funktioniert das auch einwandfrei. Meine Anforderung ist jedoch, dass sich nur einige Benutzer aus LDAP anmelden können und die Liste der Benutzer in einer separaten Textdatei bereitgestellt wird (nach Benutzeranmeldenamen).
Weitere Informationen: Wir haben einen LDAP-Server (eigentlich Active Directory) mit mehreren Tausend Benutzern. Nur etwa 20 von ihnen, die an diesen Arbeitsstationen arbeiten müssen, sollten sich an diesen Arbeitsstationen anmelden dürfen. Leider enthält LDAP keine diesbezüglichen Informationen und ich habe keine Kontrolle über den LDAP-Server. Stattdessen erhalte ich alle paar Wochen eine Textdatei mit einer Liste der Benutzernamen, denen die Anmeldung gestattet werden sollte.
Wie kann ich die Authentifizierung so einrichten, dass LDAP für Benutzername/Passwort/Benutzer-ID usw. verwendet wird, und sie gleichzeitig auf die Benutzer in dieser Liste beschränken?
Antwort1
Ich habe zwei Möglichkeiten gefunden, um mein Ziel zu erreichen. Die erste war die von thrig beschriebene. Ich musste jeden Benutzernamen einzeln zu /etc/security/access.conf hinzufügen.
Die zweite Möglichkeit besteht darin, eine LDAP-Abfragezeichenfolge in sssd.conf anzugeben:
ldap_access_filter = (|(Benutzer-ID=Benutzer1)(Benutzer-ID=Benutzer2).....)
Die zweite Lösung ist sehr mühsam zu erstellen, bietet aber in großen LDAP-Umgebungen erhebliche Leistungsvorteile, da sssd nur wenige LDAP-Datensätze abruft.
Antwort2
Fügen Sie diese Benutzer einer Gruppe hinzu und verwenden Sie dann eine pam_accessRegel, /etc/security/access.confum Anmeldungen nur dann zuzulassen, wenn der Benutzer zu dieser Gruppe gehört (und auch für rootalle Systemadministratoren und die Überwachung, falls erforderlich), z. B.
+ : root wheel nagios : ALL
+ : yourusergrouphere : ALL
- : ALL : ALL