Estamos usando SSSD para autenticação usando LDAP. E eu filtro o acesso do usuário usandosimples_allow_groupsdo seguinte modo:
access_provider = simple
simple_allow_groups = Computer Admins
(Observação: Computer Admins é um grupo LDAP)
É possível obter uma lista deAPENASusuários permitidos usandogetentou alguma outra coisa??
Há uma enumeração de opções, mas esta listatodosusuários do LDAP. Estou interessado apenas nopermitidoUsuários.
Responder1
getentsó funciona se o seu grupo for um grupo Unix (ou seja, possui um gidNumbere é visível para a nssparte de sssd). Se /etc/nsswtich.confestiver configurado para procurar grupos por meio de sss, getent group 'Computer Admins'você receberá uma lista de membros desse grupo, transitivamente fechada (ou seja, incluindo membros de grupos que são membros desse grupo, etc.). Esta lista deve incluir apenas usuários que também sejam usuários Unix (que possuam um uidNumberatributo).
Se 'Computer Admins' não for um grupo Unix, então você terá que trabalhar com um cliente LDAP (como ldapsearchou ldapvi) para obter seus membros e implementar você mesmo o fechamento transitivo.