나는 아래에 제공된 sssd.conf 파일을 사용하여 사용자에게 서버에 대한 권한을 부여했습니다. 문제는 아래에 나열되지 않은 일부 사용자입니다.DN: cn=승인됨,ou=rona,ou=서버,ou=그룹,dc=yolo,dc=com여전히 액세스할 수 있습니다. 사용자는 여기에서 생성됩니다.ou=사용자,dc=yolo,dc=com. 여기에 나열된 모든 사용자는 앞에서 언급한 리소스에 액세스할 수 있습니다.
섬기는 사람 DN: ou=rona,ou=서버,ou=그룹,dc=yolo,dc=com
구성
config_file_version = 2
services = nss, pam, autofs, sudo
domains = default
[nss]
homedir_substring = /home
[pam]
[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
sudo_provider = ldap
ldap_uri = ldaps://ldap.yolo.com
ldap_chpass_uri = ldaps://ldap.yolo.com
ldap_search_base = dc=yolo,dc=com
ldap_user_search_base = ou=users,dc=yolo,dc=com
ldap_group_search_base = ou=rona,ou=servers,ou=groups,dc=yolo,dc=com
ldap_id_use_start_tls = False
ldap_tls_cacertdir = <path>/certs
cache_credentials = False
ldap_tls_reqcert = demand
entry_cache_timeout = 6
ldap_network_timeout = 3
ldap_connection_expire_timeout = 6
debug_level = 9
ldap_default_bind_dn = uid=yolobind,ou=bind,dc=yolo,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = PASSWORD
ldap_schema = rfc2307
ldap_use_tls = true
enumerate = true
[sudo]
답변1
해당 그룹을 필터링하지 않으므로 모든 사용자가 허용됩니다.
다음과 같이 필터를 추가할 수 있습니다.
ldap_access_filter = memberOf=cn=authorized,ou=rona,ou=servers,ou=groups,dc=yolo,dc=com
memberOf귀하의 속성과 일치하는지 확인하세요 uniqueMember.