SSSD - LDAPグループベースのアクセス - LDAPスキーマrfc2307bis

Question

SSSDでaccess_provider = ldapを設定できません。問題は、ldap_access_filterです。私はldap_access_filter =のuniqueMember = CN =許可グループを設定しようとしたが、それは常にアクセスを拒否します

# allowed-group, groups, location, dc1.dc2 
dn: cn=allowed-group,ou=groups,l=location,dc=dc1,dc=dc2 
cn: allowed-group 
objectClass: top 
objectClass: groupOfUniqueNames 
objectClass: posixGroup 
gidNumber: 2140 
description: Group description 
uniqueMember: uid=username,ou=users,l=location,dc=dc1,dc=dc2 

： USER：

# username, users, location, dc1.dc2 
dn: uid=username,ou=users,l=location,dc=dc1,dc=dc2 
shadowExpire: 17507 
shadowLastChange: 17494 
shadowMin: 0 
shadowMax: 0 
shadowInactive: 0 
shadowFlag: 0 
shadowWarning: 0 
loginShell: /bin/bash 
homeDirectory: /home/username 
gidNumber: 2341 
uidNumber: 6432 
uid: username 
mail: username@company.com 
sn: Name 
objectClass: organizationalPerson 
objectClass: person 
objectClass: posixAccount 
objectClass: top 
objectClass: inetOrgPerson 
objectClass: shadowAccount 
cn: User Name 
title: User Title 
mobile: xxxxxxxxx 
manager: uid=usermanager,ou=users,l=location,dc=dc1,dc=dc2 

GROUP

LDAP側はこのようになりますメッセージ：

(Tue Dec 5 18:22:44 2017) [sssd[be[LDAP]]] [sdap_get_generic_ext_step] (0x0400): calling ldap_search_ext with [(&(uid=username)(objectclass=posixAccount)(uniqueMember=cn=allowed-group,ou=groups,l=location,dc=dc1,dc=dc1))][uid=username,ou=users,l=location,dc=dc1,dc=dc2]. 
(Tue Dec 5 18:22:44 2017) [sssd[be[LDAP]]] [sdap_access_filter_done] (0x0100): User [username@ldap] was not found with the specified filter. Denying access. 

ssssd.conf

​​

誰かが、そのldapスキーマの正しいldap_access_filterを作成する方法を指摘できますか？

Answer 1

グループのユーザーリストではなく、ユーザーの属性を調べるにはsssdが必要です。

ldap_access_filter = memberOf=cn=allowed-group,ou=groups,l=location,dc=dc1,dc=dc1 

はそのmemberOfのはあなたが（あなたのLDAPサーバがOpenLDAPのを実行していると仮定）のmemberOfオーバーレイを使用する必要があるユーザーのレコードに属性を取得します。

Answer 2

また、グループベースのアクセス制御では、access_provider = simpleを使用して、許可されたグループを一覧表示できます。