我正在尝试理解 kerberos & LDAP。已经安装了工作 openldap(用户信息)和 kerberos(身份验证)。
我已经使用"迁移工具"将unix user(user01)迁移到openldap。以下用户和主机原则也是使用 kadmin 创建的。
addprinc user01
addprinc -randkey host/host01.example.com
addprinc -randkey host/host02.example.com
假设我有 3 台主机:
host01.example.com
host02.example.com
host03.example.com
现在,我的问题是:我如何确保"user01"只能在host01和host02上访问,而不是host03?
谢谢奥贝德
似乎我们可以使用 sssd 做一些解决方法。
我们可以通过编辑"/etc/sssd/sssd.conf"并使用"access_provider"参数来做到这一点。
考虑到我的环境(openldap+krb5),首先我尝试使用以下参数文件"/etc/sssd/sssd.conf":
[domain/default]
access_provider = ldap
ldap_access_filter = memberOf=cn=demo1,ou=Groups,dc=example,dc=com
但是,一旦我输入此参数"access_provider = ldap",所有LDAP用户都无法登录。
然后我尝试了简单的访问方法,如文件"/etc/sssd/sssd.conf"中的以下参数:
access_provider = simple
simple_allow_groups = demo1,demo2
简单的访问提供商为我工作。
在上面的例子中,demo1 和 demo2 是仅在 openldap 上定义的组,"access_provider = simple"正在工作。因此,它是我解决方案的潜在候选者。我正在使用"id_provider = ldap"。
我想听听关于此的其他想法/解决方案,以便我们不仅可以为我找到一个好的解决方案,还可以为具有类似情况的其他人找到一个好的解决方案。
谢谢奥贝德