Проблема для ограничения доступа SSH от Группы Windows AD (использующий sssd)

Question 1

Я соединил сервер человечности 16.04 со своим Windows AD для аутентификации SSH. Это хорошо работает, пока я не хочу ограничить доступ к определенной группе с sssd

вот содержание моего/etc/sssd/sssd.conf

[sssd]
domains = my.domain.com
config_file_version = 2
services = nss, pam

[domain/my.domain.com]
ad_domain = my.domain.com
krb5_realm = MY.DOMAIN.COM
realmd_tags = joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
ad_gpo_access_control = permissive
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
simple_allow_users = $
access_provider = ad
ad_access_filter = memberOf=CN=DockerLinuxUser,OU=DockerLinux,DC=my,DC=domain,DC=com

Я также пытался использовать запрос thie без успеха

ad_access_filter = (&(memberOf=CN=LinuxAdmins,OU=DockerLinux,DC=my,DC=domain,DC=com)(unixHomeDirectory=*))

Когда ad_access-фильтр является прокомментированной работой SSH. При включении я не могу SSH сервер Linux больше.

Я в основном следовал этой пошаговой демонстрации: Присоединитесь к Ubuntu 16.04 в Домен Active Directory

Какая-либо справка?

Спасибо

Question 2

Я могу дать пример. В нашем sssd.conf мы запускаем с общего ldap_search_base параметра. Необходимо знать названия приемлемых пользовательских категорий, но предположить, что этот впускает всех от организации

ldap_search_base = ou=friends,dc=ou,dc=edu???ou=groups,dc=ou,dc=edu??ldap_group_name = uid

, Они записаны в невозможно длинной линии. Я не знаю, как акцентировать их.

Для ограничения диапазона пользователей, которые могут войти мы прибавляем КОНЕЦ дополнительные требования. Это говорит, что мы не хотим позволять людям, которые не являются текущими сотрудниками (никакой oldWorkers в personPrimayAffiliation), и учетные записи пользователей должны быть найдены в любой из групп, которые начинают "grpname _" или "project_admin".

ldap_search_base = ou=friends,dc=ou,dc=edu??(!(personPrimaryAffiliation=oldWorkers))?ou=groups,dc=ou,dc=edu??(&(objectClass=posixGroup)(|(cn=grpname_*)(cn=project_admin)))

ключевой бит здесь - то, что необходимо знать, что волшебные слова что организационное использование сервера относятся к пользователям и группам. Запустите с общей вещи, которая впускает всех, затем добавьте ограничения.

Наш файл конфигурации имеет krb5_realm и krb5_server подобный Вашему. Возможно, это точно не поможет Вашему случаю, но возможно он дает Вам подсказку.

pauljohn32 · Answer 1 · 7 December 2019 в 22:51

Я могу дать пример. В нашем sssd.conf мы запускаем с общего ldap_search_base параметра. Необходимо знать названия приемлемых пользовательских категорий, но предположить, что этот впускает всех от организации

ldap_search_base = ou=friends,dc=ou,dc=edu???ou=groups,dc=ou,dc=edu??ldap_group_name = uid

, Они записаны в невозможно длинной линии. Я не знаю, как акцентировать их.

Для ограничения диапазона пользователей, которые могут войти мы прибавляем КОНЕЦ дополнительные требования. Это говорит, что мы не хотим позволять людям, которые не являются текущими сотрудниками (никакой oldWorkers в personPrimayAffiliation), и учетные записи пользователей должны быть найдены в любой из групп, которые начинают "grpname _" или "project_admin".

ldap_search_base = ou=friends,dc=ou,dc=edu??(!(personPrimaryAffiliation=oldWorkers))?ou=groups,dc=ou,dc=edu??(&(objectClass=posixGroup)(|(cn=grpname_*)(cn=project_admin)))

ключевой бит здесь - то, что необходимо знать, что волшебные слова что организационное использование сервера относятся к пользователям и группам. Запустите с общей вещи, которая впускает всех, затем добавьте ограничения.

Наш файл конфигурации имеет krb5_realm и krb5_server подобный Вашему. Возможно, это точно не поможет Вашему случаю, но возможно он дает Вам подсказку.

Проблема для ограничения доступа SSH от Группы Windows AD (использующий sssd)

1 ответ

Другие вопросы по тегам:

Похожие вопросы: