Я использовал файл sssd.conf, указанный ниже, для авторизации пользователей на сервере. Проблема в том, что некоторые пользователи не перечислены вDN: cn=authorized,ou=rona,ou=servers,ou=groups,dc=yolo,dc=comвсе еще может получить к нему доступ. Пользователи создаются здесьou=пользователи,dc=yolo,dc=com. Любой пользователь, указанный здесь, может получить доступ к ресурсам, как упоминалось ранее.
сервер DN: ou=rona,ou=servers,ou=groups,dc=yolo,dc=com
Конфигурация
config_file_version = 2
services = nss, pam, autofs, sudo
domains = default
[nss]
homedir_substring = /home
[pam]
[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
sudo_provider = ldap
ldap_uri = ldaps://ldap.yolo.com
ldap_chpass_uri = ldaps://ldap.yolo.com
ldap_search_base = dc=yolo,dc=com
ldap_user_search_base = ou=users,dc=yolo,dc=com
ldap_group_search_base = ou=rona,ou=servers,ou=groups,dc=yolo,dc=com
ldap_id_use_start_tls = False
ldap_tls_cacertdir = <path>/certs
cache_credentials = False
ldap_tls_reqcert = demand
entry_cache_timeout = 6
ldap_network_timeout = 3
ldap_connection_expire_timeout = 6
debug_level = 9
ldap_default_bind_dn = uid=yolobind,ou=bind,dc=yolo,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = PASSWORD
ldap_schema = rfc2307
ldap_use_tls = true
enumerate = true
[sudo]
решение1
Вы не фильтруете для этой группы, поэтому всем пользователям разрешено.
Вы можете добавить такой фильтр:
ldap_access_filter = memberOf=cn=authorized,ou=rona,ou=servers,ou=groups,dc=yolo,dc=com
Проверьте, memberOfсоответствует ли это вашим свойствам, также может быть uniqueMember.